Ismael Medina Camacho

Seguridad en Redes IP

Practica 2- Anlisis de un Sitio web

Practica 2: Anlisis de un Sitio Web
Objetivos
Al completar este laboratorio, el participante ser capaz de:
anlisis de vulnerabilidades en un sitio Web.

Efectuar

Efectuar la auditoria SSL de su Certificado Digital.

Instalar
Instalar

y
y

configurar

configurar

la

un
plataforma

servidor
de

desarrollo

Apache.
PHP.

Instalar y configurar la herramienta de haking BeeF (Browser Explitation

Framework).

Introduccin:
Anlisis de Vulnerabilidades Web
En este ejercicio se instalar y ejecutar el software Nikto, para
efectuar un scanningde las vulnerabilidades en servidores web.
Nota: Si usted es el administrador encargado de un sitio web en Internet,
puede hacer la prueba sobre el mismo. Si no es el administrador de un
sitio Web, deje este ejercicio para el final, cuando se haya instalado el
servidor Apache de su compaero. No podemos hacer pruebas reales sobre
sitios web de terceros sin autorizacin porque se considera actividad
maliciosa de hackeo.

Material y equipo necesario

v 1Computadora con Windows server
v 2 nodos o clientes conectados en la red

Ismael Medina Camacho

Seguridad en Redes IP

Metodologa
Paso 1. Instalacin de ActivePerl.
a.

Inicie su equipo en Windows. Ejecute ActivePerl-5.10.1.1006MSWin32-x86-291086.msi desde su USB, aceptando todas las opciones
por default.

Paso 2. Instalacin, Actualizacin |y prueba de Nikto.

a.
Descomprima
el
archivo nikto-current.tar.gz,
directorio c:\hack\nikto-2.1.0
b.

hacia

el

Use wordpad para editar el archivo de texto nikto.conf ubicado en el

directorio principal de nikto:
PLUGINDIR=C:/hack/nikto-2.1.0/plugins
DOCDIR=C:/hack/nikto-2.1.0/docs
TEMPLATEDIR=C:/hack/nikto-2.1.0/templates
Asegrese de remover el smbolo # (comentario) al inicio de las tres lneas
y guarde el archivo.

c.

Verifique que su IP local es dinmica asignada por DHCP para que pueda
conectarse a Internet.
ipconfig /all

d.

Abra una consola de comandos en el directorio c:\hack\nikto-2.1.0.

Ejecute nikto para que actualice en lnea la lista de vulnerabilidades que
puede detectar:
perl nikto.pl update

e.

Ejecute de nuevo Nikto,

vulnerabilidades del sitio web:
perl nikto.pl h www.sitio.com

para

que

efecte

el

anlisis

de

Ismael Medina Camacho

Seguridad en Redes IP

Si usted es el administrador de un sitio web, sustituya www.sitio.com por

la direccin real de su sitio web.Si no es el administrador, necesita
esperar a que su compaero termine el ejercicio 3 (instalacin de Apache)
reasignarse la IP fija original y analizar la IP interna de su compaero.
Nota: no podemos analizar sitios web de otras empresas porque se
considera actividad maliciosa si no se cuenta con autorizacin previa.
El anlisis toma alrededor de 20 minutos. Puede realizar el siguiente
ejercicio (Auditoria SSL), en lo que termina la herramienta de hacer
anlisis.
f.

Al concluir, investigue el nmero de referencia OSVDB que aparece en

las vulnerabilidades, para identificar el nivel de riesgo y como
solucionarlo:http://osvdb.org/
Busque el nmero en el campo OSVDB ID Lookup de la pgina web
anterior. Tome slo dos o t res vulnerabilidades de ejemplo.

Reflexin
a.

Consideras importante
vulnerabilidades. Por qu?

conocer

herramientas

para

anlisis

de

Es importante conocer las vulnerabilidades porque de este modo se puede

reforzar implementando medidas de seguridad y previniendo amenazas.
Cuando conocemos las vulnerabilidades podemos aplicar las defensas
correctas.

Ismael Medina Camacho

Seguridad en Redes IP

Ismael Medina Camacho

Seguridad en Redes IP

Reflexin: esta actividad la considero muy importante porque conocemos

las vulnerabilidades y podemos aplicar diferentes actividades para evitar
tener accidentes