Ambiente de pruebas
Para los laboratorios se utilizan las siguientes herramientas:
- Herramientas para pruebas de penetración de aplicaciones web (proxies de ataque):
- OWASP ZAP: para instalarlo e inspeccionar aplicaciones manualmente en un navegador, ver en la guía básica las secciones “Install and Configure ZAP” y “Exploring an Application Manually” respectivamente.
- Burp Suite Community Edition (versión gratuita): para información de instalación y uso, ver la guía de PortSwigger que contiene imágenes y videos.
- Servicio DNS que pueda escuchar peticiones generadas por el servidor víctima: en este caso se usa Burp Collaborator (parte de Burp Suite Professional [versión paga]), por restricciones de la plataforma de ejercicios.
- Python 3.X.
- sqlmap.
Las prácticas son ejercicios públicos y gratuitos del tema “SQL injection” de Web Security Academy de PortSwigger. Es necesario crearse una cuenta en la web para acceder a las instancias de laboratorio. Para crearse una cuenta se puede ir aquí.