Configuración de Herramientas para Prácticas de Seguridad en Laboratorio

Clase 3 de 15 • Curso de OWASP Top 10: Riesgos en Aplicaciones

Si llegaste a esta clase, significa que estás a punto de comenzar tus prácticas de laboratorio del curso, así que es momento de...

Preparar tus herramientas de trabajo

Para realizar tus prácticas vas a necesitar las siguientes herramientas:

Git: Para descargar y estudiar el repositorio de nuestra aplicación vulnerable.
Editor de código: Para estudiar el código de nuestra aplicación vulnerable, puede ser VS Code.
Docker: Para ejecutar la aplicación vulnerable en contenedores aislados.
NodeJS: Para ejecutar comandos de NPM en la clase de dependencias de vulnerables.
Burp Suite: Como herramienta de pentesting a lo largo del curso.
DirBuster: Como herramienta de pentesting para la clase de security misconfiguration.

Si nunca has utilizado estas herramientas, no te preocupes, en este curso te enseñaremos lo necesario.

Ejecutar la aplicación vulnerable

Para realizar las diferentes prácticas del curso, necesitarás descargar y configurar la aplicación vulnerable que desarrollamos para ti. Puedes encontrar la documentación y todos los pasos necesarios en el repositorio de GitHub oficial.

Aquí te dejamos algunos tutoriales que pueden servirte.

Tutorial de uso e instalación para la aplicación vulnerable Tutorial de instalación de Docker Tutorial de instalación de DirBuster

Tutoriales de instalación de Burp Suite: Windows Linux MacOS

Recuerda que siempre puedes compartirnos tus dudas y aportes en la sección de comentarios, estamos para ayudarte.

Diego Forero

Team Platzi•

Para instalar Burp Suite en una distribución basada en arch linux puedes usar alguno de los siguientes comandos

Si usas yay como gestor de paquetes yay burpsuite y seleccionas la opción de burpsuite normal

Si usas pamac como gestor de paquetes

sudo pamac install bupsuite

Juliana Castillo Araujo

Team Platzi•

Mil gracias, increible aporte

Valeria Vanesa Zalazar

student•

Muchas gracias, por el aporte.

Eduardo Hoppenstedt

teacher•

💪🏼💪🏼💪🏼💪🏼 Si terminas este curso puedes participar en el Capture The Flag de Platzi el 13 de Marzo del 2024. Una competencia de Hacking para poner a prueba lo que sabes. https://platzi.com/eventos/hack-the-world/

Jair Andrés Sanchez Barrera

student•

Hola! He realizado cada uno de los pasos en instalaciones y configuraciones, pero continuo con falla de localbox. ¿Quién me podría ayudar un poco en eso?😅

Yerson Steven Rojas Barragan

student•

que buen curso emocionado!!! al mill

Jaqueline Torres

student•

¡Hola a tod@s! 🙋🏻‍♀️

Quiero compartir algunos tips para la configuración del entorno de trabajo en macOS 13.6.4.

Para el Paso 2: Agregar el alias en sistemas tipo UNIX (MacOS y Linux) Puedes hacerlo desde la terminal, utilizando el comando sudo nano /etc/hosts para editar con permisos de administrador.

Para el Paso 3: Agregar el certificado CA al navegador (En mi caso, Chrome) (me base en el siguiente video )

Cuando llegas a la sección "<u>Administrar certificados</u>", se abrirá "<u>Keychain Access</u>". Lo que hice fue arrastrar el certificado "RootCA.crt" a la pestaña "System". Luego, hice clic derecho en el certificado, seleccioné "Get info/Trust", y en la sección "When using this certificate", elegí "Always Trust". ¡Listo!

Por último, para cambiar al modo oscuro en Burp Suite, hay dos formas:

Dirígete al menú superior de Burp/Settings/User/User interface/Display. En la ventana derecha, en la sección de "Appearance", encontrarás la opción para activar el modo oscuro.
También puedes acceder directamente a las configuraciones desde el icono de ajustes en la esquina superior derecha. Repite el camino del punto uno: /User/User interface/Display. En la ventana derecha, en la sección "Appearance", encontrarás la opción para el modo oscuro.

Y acá el sitio Grafana

¡Saludos!

JESUS ALFREDO LIMACO BENDEZU

student•

es mejor usar UTM y virtualizar kali ahi y tienes todas las herramientas por defecto. Eso si, no usen la ultima version de kali porque les traera problemas y tampoco usen parrot porque no tiene las herramientas necesarias. Te las tienes que descargar casi todas y varias dan problemas sobre todo cuando quieres empezar con directorio activo.

Santiago Carrasco Aldabe

student•

Me sale este error, pueden ayudarme?

Diego Ademir Duarte Santana

Team Platzi•

no tienes instalado bien el certificado. Revisa de nuevo todos los pasos en https://github.com/platzi/curso-owasp-top-10?tab=readme-ov-file

carlos arturo alfonso garavito

student•

yo no eh podido acceder a la aplicacion vulnerable, no me deja cambiar el host en kali y en el pc normal no lo reconoce, alguien me podría ayudar ?

Diego Ademir Duarte Santana

Team Platzi•

trabajas como root, correcto? https://github.com/platzi/curso-owasp-top-10 Yo lo virtualizo en VMware y trabajo con la vm de Kali en su última versión estable

Cesar Pich

student•

hola buenas tardes ya realize los pasos como los indica el tutorial para la aplicacion vulnerable , ya instale los certificados ya edite con nano el localbox , al momento de ingresar al sitio no me permite ingresar a sitio vulnerable me gustaria que me ayudaran que es lo que estoy haciendo mal por favor

Laura Herrera

student•

Lograste resolverlo? no pude acceder, no entiendo

Diego Fernando Ramos Aguirre

student•

Buen día, si tiene problemas para ejecutar la aplicación vulnerable ejecuten el comando sudo docker-compose up --build ya que el github esta sin el guion del medio

Diego Fernando Ramos Aguirre

student•

Buen día, si tiene problemas para ejecutar la aplicación vulnerable ejecuten el comando

sudo docker-compose up --build

ya que el GitHub esta sin el guion del medio y mejor asegurarse de ejecutarla como root

Luis Rangel

student•

Perfecto. Muchas gracias. Excelente aporte

Juan José Mamani Tarqui

student•

No puedi agregar el siguiente cambio al localhosts: 127.0.0.1 localbox CREO QUE SERIA CONVENIENTE SI HACE UN TUTORIAL POR VIDEO EN LUGAR DE SEGUIR LOS PASOS POR TEXTO

Diego Ademir Duarte Santana

Team Platzi•

buena sugerencia, lo tendremos en cuenta

Jair Andrés Sanchez Barrera

student•

Es muy cierto, sería muy recomendable agregar una video en el cual explicaran estas posibles fallas, ya que hay personas que estamos iniciando en obtener conocimiento en estos temas

Cesar Oswaldo Pichardo Mendoza

student•

al preparar el laboratorio de pruebas, se me ha dificultado la instalación de docker y de burpsuite ya instale kali y ya instale tambien ubuntu pero logro ejecutarlo

Cesar Pich

student•

hola buenas tardes, ya segui todos los pasos que aparece en el repositorio de GitHub y no puedo acceder al servidor localbox ya realize todos los pasos, alguien me podria orientar que es lo que estoy haciendo mal

Omar Trejo Velasco

student•

Si actualmente tienen ubuntu y desean las herramientas en esta distribución (por ejemplo si usan WSL), pueden descargar los repositorios de Kali de la siguiente manera:

wget -q -O - | gpg --import

wget -q -O -

cat archive-key.asc | gpg --dearmor > kali-keyring.gpg

cat kali-keyring.gpg | sudo tee /usr/share/keyrings/kali-keyring.gpg > /dev/null

echo 'deb [arch=amd64 signed-by=/usr/share/keyrings/kali-keyring.gpg] kali-rolling main non-free contrib' | sudo tee /etc/apt/sources.list.d/kali.list

sudo sh -c "echo 'Package: *' > /etc/apt/preferences.d/kali.pref; echo 'Pin: release a=kali-rolling' >> /etc/apt/preferences.d/kali.pref; echo 'Pin-Priority: 50' >> /etc/apt/preferences.d/kali.pref"

sudo apt update

sudo apt install burpsuite

Malinda Marlene Perez Alvarado

student•

DirBuster es una herramienta que se puede instalar en diferentes sistemas operativos, incluyendo Windows. En el contexto del curso y considerando que estás familiarizado con herramientas como Kali Linux y Docker, podrías utilizar DirBuster en un entorno de Kali Linux o ejecutarlo en Windows. Asegúrate de seguir las instrucciones adecuadas para la instalación según el sistema operativo que elijas.

jorge andres diaz peñuela

student•

Buenos Días Alguien de casualidad le da error al ejecutar el servidor.

No he podido realizar la actividad.

Jose Fernando Peréz

student•

Si manejan Kali no pierdan el tiempo, la versión Kali Rolling 2024.3 en adelante, genera muchas dificultades para ejecutar firmados Docker especialmente, no se pensó en ello, es decir el curso hace mención a esta super distribución de Kali especializada pero no tiene presente la dificultades intrínsecas de la version para ejecutar programas que no están dentro del estándar de "Cyber" pues no le dieron los desarrolladores ese Status a Docker editar de forma manual apt puede incluso no funcionar, sugiero operar en Debian que es en lo que esta basado Kali o Windows si no les gusta en general Linux.

Javier Ramos

student•

Buen dato

Jose Fernando Peréz

student•

Es decepcionante DOCKER no este disponible para Kali y tengas que montar una VM.

Luis Rangel

student•

Tengo el inconveniente que al abrir la página e ingresar con algun susuario este carga súper rápido y vueleve a la parte de loggin

Guillermo Escalona Olivares

student•

Quedo super bien esta sección :D

Configuración de Herramientas para Prácticas de Seguridad en Laboratorio

Introducción a OWASP Top 10

OWASP Top 10: Mejores Prácticas de Seguridad en Aplicaciones Web

Seguridad de Aplicaciones con OBS Top 10 y Herramientas Prácticas

Configuración de Herramientas para Prácticas de Seguridad en Laboratorio

Análisis de Vulnerabilidades OWASP Top 10 2021

Cómo utilizar el Top 10 de riesgos en aplicaciones

Mitigación de Broken Access Control en Aplicaciones Web

Fallas Criptográficas: Riesgos y Controles en Aplicaciones Web

Prevención de Inyecciones SQL en Aplicaciones Web

Diseño Seguro de Aplicaciones: Mitigación de Vulnerabilidades

Fortalecimiento de Seguridad: Hardening y Configuración Segura

Mitigación de Riesgos en Componentes Vulnerables y Desactualizados

Prevención de Fallas en Autenticación y Contraseñas Débiles

Gestión de Integridad en Software y Protección de Datos

Prevención de Fallos en Monitoreo y Registro de Seguridad

"Riesgos de Server-Side Request Forgery en Aplicaciones Web"

Cómo implementar OWASP Top 10 en tu empresa

Gestión de Riesgos en Aplicaciones con OVAS y ISO 27001