11 may 2011

BadStore, aprende seguridad Web sin meterte en líos

Buenas a todos, la semana pasada estuvimos hablando ZerialKiller y un servidor de vulnerabilidades Web, en concreto de SQL Injections. Muchos de vosotros mostrasteis interés por la temática, aunque a algunos les quedase la duda de... ¿dónde podemos probar todos nuestros conocimientos sobre el tema? Apuesto a que una gran mayoría conoceréis un gran número de páginas "para arreglar", pero si no quieres pasar algunos meses en el talego por si se os cae la pastilla de jabón... , mi recomendación es que recurráis a alguna alternativa como BadStore.

BadStore es un Live CD con Trinux , que ocupa únicamente 10MB. No pide apenas recursos para arrancar (64MB de RAM), por lo que podéis arrancarlo desde una máquina virtual sin problemas. BadStore arranca con su inicio un servidor Web con el sitio Web de BadStore, que simula una tienda virtual vulnerable, a la que le podremos hacer todo tipo de perrerías. Una vez que la hayamos "dejado fina", podremos reiniciar y tenerla lista para continuar.

 

Entre otras vulnerabilidades que presenta, podréis explotar XSS, Sql Injections, Path Traversal, modificar las cookies, etc.

Tenéis más información en su sitio oficial: http://www.badstore.net/

Podéis descargar la ISO de BadStore desde aquí.

Saludos!

8 comentarios:

  1. Perfecto!, o como diría cierto personaje animado Excelente...

    ResponderEliminar
  2. Justo lo que necesitaba para practicar, un abrazo a toda la comunidad Flu

    ResponderEliminar
  3. [...] a todos, continuando con la pasada entrada donde hablábamos sobre Badstore, hoy vamos a comenzar a analizar algunas de las vulnerabilidades que presenta este portal, las [...]

    ResponderEliminar
  4. aaa no eh podido descargarlo, no tendran un enlace externo a la pagina de badstore?

    ResponderEliminar
  5. No responde ahora mismo bien la web de badstore, debe estar saturada, así que inténtalo más tarde y deberías poder descargarlo sin problemas:C:\Users\Admin>ping www.badstore.netHaciendo ping a www.badstore.net [69.36.252.178] con 32 bytes de datos:Respuesta desde 69.36.252.178: bytes=32 tiempo=2042ms TTL=243Respuesta desde 69.36.252.178: bytes=32 tiempo=200ms TTL=243Tiempo de espera agotado para esta solicitud.Respuesta desde 69.36.252.178: bytes=32 tiempo=194ms TTL=243Estadísticas de ping para 69.36.252.178: Paquetes: enviados = 4, recibidos = 3, perdidos = 1 (25% perdidos),

    ResponderEliminar
  6. [...] En este artículo de este mismo blog se explica como obtener la máquina virtual y ponerla [...]

    ResponderEliminar
  7. [...] Si el reto os gusta es probable que ampliemos este sitio web de pruebas para que lo tengáis junto con otros sitios como badstore para practicar ataques sin meteros en líos [...]

    ResponderEliminar