Escenario
En esta práctica, trabajarás con Damn Vulnerable Web Application (DVWA), una aplicación web deliberadamente vulnerable instalada en Metasploitable. DVWA está diseñada para probar y aprender técnicas de hacking ético y auditoría web en un entorno seguro.
1. Acceder a DVWA en Metasploitable¶
🔹 Paso 1: Asegurar que Metasploitable está en ejecución. 🔹 Paso 2: Abrir un navegador web y acceder a DVWA a través de HTTP:
http://<IP-METASPLOITABLE>/dvwa
(Reemplaza <IP-METASPLOITABLE> con la IP de la máquina donde está instalado DVWA).
🔹 Paso 3: Iniciar sesión con las credenciales por defecto:
- Usuario:
admin - Contraseña:
password
2. Configuración del Nivel de Seguridad en "Low"¶
DVWA permite ajustar el nivel de seguridad para modificar la dificultad de las vulnerabilidades. Para esta práctica, necesitarás establecer el nivel en "Low".
🔹 Paso 1: Dirígete al menú lateral y selecciona "DVWA Security". 🔹 Paso 2: En la sección "Security Level", elige la opción "Low". 🔹 Paso 3: Pulsa el botón "Submit" para guardar los cambios.
3. ¿Qué vas a hacer en la práctica?¶
Una vez configurado el nivel de seguridad en Low, podrás realizar pruebas sobre diversas vulnerabilidades presentes en DVWA, tales como:
✅ Inyección SQL (SQLi) – Manipular consultas SQL para acceder a datos. ✅ Cross-Site Scripting (XSS) – Inyectar código JavaScript en formularios vulnerables. ✅ Inyección de comandos (Command Injection) – Ejecutar comandos en el servidor. ✅ Inseguridad en la gestión de sesiones – Secuestrar sesiones a través de cookies.
4. Conclusión¶
DVWA es una herramienta excelente para aprender y practicar pruebas de seguridad en aplicaciones web. Configurar la seguridad en Low te permitirá explorar vulnerabilidades sin restricciones y comprender cómo funcionan los ataques más comunes. 🚀
🔹 ¡Manos a la obra! Continúa con los siguientes apartados de la práctica para comenzar con las pruebas. 🔍