Reconocimiento de una Aplicación Web

Existen muchas maneras de realizar el reconocimiento de una aplicación web, para encontrar todos los recursos relacionados. Quizás la guía más común es, “entender completamente como se comporta una aplicación”, y de esta manera estar en la mejor posición posible para la fase de explotación. El reconocimiento de una aplicación web incluye actividades como:

  • Localizar los puntos de entrada (campos de entrada HTML como en campos de formularios, campos ocultos, cajas desplegables, y listas de botones de radio).
  • Inspeccionar las cabeceras HTTP, cookies HTTP, y cadenas de consulta en la URL.
  • Rastrear los parámetros en la URL y el cuerpo de una petición utilizando el método POST, para ver como la aplicación interactúa con la base de datos.
  • Realizar una revisión sobre la funcionalidad del lado del cliente, tanto en HTML y JavaScritpt.
  • Identificar los esquemas de codificación utilizados.

Ciertamente estas actividades son muy valiosas si se está interesado en ganar un profundo conocimiento de una aplicación web, pero esto requiere la inversión de un tiempo considerable, experiencia, y conocimientos sobre programación, siendo todo esto confortable para ataques más avanzados, los cuales golpean la lógica de la aplicación web. No se incluyen estas actividades en la etapa de reconocimiento, en lugar de ello, se enfoca en las vulnerabilidades las cuales son fácilmente detectables y explotables utilizando las herramientas disponibles.

Se realizan las actividades del reconocimiento utilizando herramientas para “spidering”, las cuales pueden ser configuradas para ejecutarse automáticamente o manualmente, de tal manera sea fácil descubrir los recursos de una aplicación web objetivo. Los recursos descubiertos durante el reconocimiento serán utilizados durante el escaneo, para buscar vulnerabilidades en una aplicación web, de una manera similar a como se identifican vulnerabilidades a nivel del servidor web.

Fuentes:

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1