1

Seguridad en Aplicaciones Web - Fase 2

Actividad Práctica 1 – Vulnerabilidades de las
Aplicaciones Web y Tipos de Ataque
(Octubre 2018)
Primer Autor, Jaison Josué Ospina Penagos. Seguridad en Aplicaciones Web. Universidad Nacional
Abierta y a Distancia - UNAD. Jaison.ospina@gmail.com

El estudiante Entregará un informe de la práctica,
utilizando el formato IEEE, en el que incluye lo siguiente:
I. INTRODUCCIÓN 1. Descripción del proceso de instalación de las
distribuciones y evidencias del mismo. Las distribuciones

A
deben tener como nombre de dominio el nombre y apellido
CTUALMENTE las organizaciones cuentan con sistemas de
del estudiante.
información para poder gestionar los datos, ya sean
2. Descripción del proceso de instalación del servidor Apache
relacionados con el negocio o los propios para el
y de DVWA.
funcionamiento de la entidad. Es importante que los sistemas
3. Documentación de los ataques que seleccionó para
de información cuenten con varios niveles de seguridad en la
realizar, con base en referencias válidas. Descripción de la
entrada de la información por parte de los usuarios, ya que hoy
realización de cada ataque con evidencias.
en día son muy comunes los ataques como Inyección de
4. Conclusiones
código SQL, XSS Cross-Site Scripting (Ejecución de
5. Referencias
comandos en sitios cruzados) y CSRF Cross-Site Request
Forgery (Falsificación de solicitud entre sitios), entre otros.
III.DESARROLLO DE LA ACTIVIDAD
El desarrollo de este laboratorio pretende que el estudiante
monte un ambiente cliente servidor en una máquina virtual en
Linux e instale la aplicación DVWA (Damn Vulnerable Web
A. INSTALACION DE XAMPP EN MAQUINA VIRTUAL
Application), la cual está desarrollada en PHP con base de
UBUNTU
datos MySQL y se utiliza para el entrenamiento para
profesionales, investigadores y estudiantes para la explotación
de las vulnerabilidades que presenta esta aplicación. En la página oficial de XAMPP se busca la versión para
Linux, este programa incluye el servidor web Apache,
Una vez montado el ambiente en la primera máquina Lenguaje de código abierto PHP y la base de datos MySQL,
virtual, se procede a instalar otra máquina con Kali Linux, la entre otras utilidades.
cual se encargará de realizar los ataques a DVWA.

Algunas de las herramientas que se utilizarán durante el

desarrollo de la actividad son: Sqlmap, Burp Suite, CURL e
Hydra, estas están incluidas en la distribución Kali Linux, la
cual fue desarrollada por Offensive Security Ltda. y se
especializa en auditoria y seguridad informática.

Con esta actividad el estudiante entenderá la facilidad que

existe hoy en día para lograr vulnerar algunas de las
aplicaciones que existen en las organizaciones, igualmente
será consciente de utilizar o recomendar la implementación de
niveles de seguridad mas avanzados durante el desarrollo de Fig 1. Página de descarga de XAMPP.
las aplicaciones web.
Se descarga la versión seleccionada de XAMPP, por
defecto se descarga en la carpeta Descargas del usuario jaison.

II. ACTIVIDAD A DESARROLLAR


 2

Se seleccionan los componentes que se desean instalar.

Fig 2. Descarga de XAMPP

En la carpeta Descarga, se selecciona la opción Permitir

ejecutar el archivo como un programa. Fig 6. Se informa el paquete que será instalado

Se informa que el programa XAMPP será instalada en la

carpeta /opt/lampp

Fig 3. Configura el instalador como un ejecutable

Se abre la consola de Linux y se toman los privilegios del

usuario root para ejecutar el archivo con extensión .run recién Fig 7. Informa ubicación de xampp
descargado.
El instalador pregunta si se desea abrir la página para
obtener más información sobre bitnami para XAMPP.

Fig 4. Se ejecuta el instalador de xampp

Se inicia la configuración de la instalación de XAMPP. Fig 8. Pregunta obtener más información sobre bitnami
Ahora el proceso de instalación de XAMPP está listo para
iniciar.

Fig 5. Inicio de la instalación de XAMPP

 3

Fig 9. Preparación de la instalación de XAMPP

Fig 12. Consola XAMPP
Se inicia el proceso de instalación de XAMPP.
Se selecciona la pestaña Manage Servers, se visualizan los
servicios de MySQL, FTP y el servidor web Apache.

Fig 10. Proceso de instalación de XAMPP

El proceso de instalación de XAMPP ha finalizado con Fig 13. Panel de control de XAMPP
éxito.
Una vez los servicios estén arriba, se prueba el
funcionamiento en el navegador Mozilla. En la barra del
navegador se escribe localhost, se presiona enter, e
inmediatamente se visualiza la página de Xampp.

Fig 11. Finalización de la instalación de XAMPP

Una vez finalizada la instalación, se visualiza la consola de

Fig 14. Página principal de XAMPP en el servidor Apache
XAMPP.
Una de las opciones que se presentan es el ingreso a
phpMyAdmin, esta es una herramienta desarrollada en PHP
para la administración de las bases de datos MySQL.
 4

Fig 15. Administrador de base de datos MySQL PhpMyAdmin Fig 18. Aplicación DVWA descargada

Ahora se descomprime la carpeta, cuyo contenido es el

B. DESCARGA Y CONFIGURACIÓN DE DVWA (DAMN siguiente.
VULNERABLE WEB APPLICATION) EN MÁQUINA
VIRTUAL UBUNTU

Ahora se descarga DVWA (Damn Vulnerable Web

Application), la cual es una aplicación que permite a los
profesionales o estudiantes de seguridad informática, evaluar
sus conocimientos en un entorno legal.

Fig 19. Contenido de la carpeta DVWA

Ahora se copia la carpeta DVWA de Descargas a la

carpeta /opt/lampp/htdocs, en esta carpeta se almacenan por
defecto los sitios que se accederán desde el servidor Apache.

Fig 16. Página de descarga de DVWA

Se descarga la aplicación en el enlace DOWNLOAD.

Fig 20. Copia de la carpeta descargada al servidor web Apache

En el navegador se accede a la página de DVWA donde se

visualizan los parámetros de configuración que faltan para
poder acceder a la aplicación.

Fig 17. Descarga de la aplicación DVWA

Por defecto se descarga en la página Descargas del usuario

jaison.

Fig 21. Parámetros de configuración de DVWA incompletos

 5

Se ingresa a la herramienta recaptcha de Google, y se

generan las claves pública y privada para el sitio DVWA.

Fig 25. Configuración de archivo php.ini

Se cambia ahora el grupo de usuarios que accederán a la

Fig 22. Creación de recaptcha para la aplicación DVWA. carpeta dvwa y al log, igualmente se configuran los privilegios
sobre estos elementos.
Se adquiere la clave pública y la clave privada para el sitio
DVWA.

Fig 26. Configuración de grupos y privilegios sobre las carpetas

Una vez configurados los elementos necesarios para realizar

la instalación de la base de datos, se procede a pulsar el botón
Create /Reset Database ubicado en la parte inferior de la
Fig 23. Obtención de las claves pública y privada para DVWA página.

Ahora se ingresan estas claves, en la página

config/config.inc.php.

Fig 27. Parámetros listos para la creación de la base de datos dvwa

Se verifica que se haya creado la base de datos dvwa, se

Fig 24. Ingreso de claves públicas y privadas en para el dvwa. visualiza que se crearon dos tablas: guestbook y users.

En el archivo php.ini, el parámetro allow_url_include que

por defecto está en OFF, se cambia a ON.

Fig 28. Base de datos dvwa con dos tablas creadas

 6

Una vez creada la base de datos, se direcciona a la página

de autenticación de DVWA, el usuario por defecto es admin y
la contraseña es password.

Fig 32. Comando ifconfig máquina virtual Kali, dirección IP 192.168.0.24

Se puede observar que la dirección 192.168.0.24 pertenece

Fig 29. Página de autenticación en DVWA
al mismo dominio de la máquina Ubuntu, la cual tiene
dirección 192.168.0.18.
Se presenta a continuación la página de DVWA una vez
autenticado. Se ingresa a la página DVWA-master del host
192.168.0.18.

Fig 30. Pagina inicial con las opciones de DVWA

Para acceder desde otros ordenadores, debemos conocer la

dirección IP de la máquina UBUNTU, para averiguarla se
debe ejecutar en la consola el comando ifconfig.
Fig 33. Autenticación en DVWA

Para el desarrollo de la actividad e inicio de los ataques, se

fija en la opción de menú DVWA Security el tipo de seguridad
a Low (Bajo).

Fig 31. Comando ifconfig máquina virtual Ubuntu, dirección IP 192.168.0.18

C.INGRESO A PÁGINA DVWA DESDE LA MÁQUINA

VIRTUAL KALI LINUX

Para iniciar, se verifica que el equipo Kali Linux se

encuentre en el mismo dominio del equipo Ubuntu, el cual
recibirá los ataques. Fig 34. Configuración del nivel de seguridad de DVWA

En la opción de menú SQL Injection, escribir algún número
correspondiente al código del usuario, para el ejemplo se
escribe 2.
Fig 35. Prueba de inyección de código en DVWA
Se devuelven los datos del usuario 2, correspondientes a
Gordon Brown, ahora se escribe en la caja de texto las
siguiente sentencia ‘ OR’ 1=1 para devolver todos los usuarios
que existen en a base de datos.
Fig 36. Prueba de inyección de código en DVWA
Para obtener y el nombre de la base de datos, se escribe la
sentencia ‘ OR 0=0 UNION SELECT null, database() #
7
Fig 37. Prueba de inyección de código en DVWA
Se visualiza en la parte inferior de la página, el nombre de
la base de datos.
D.PRIMER ATAQUE, CONOCER ESTRUCTURA DE BASE
DE DATOS CON SQLMAP
Sqlmap es una aplicación desarrollada en Python que
permite llevar a cabo inyección de código SQL, este programa
aprovecha las vulnerabilidades de inyección SQL de los
aplicativos web. Cuando se detecta la vulnerabilidad en el host
destino, el atacante tiene una variedad de opciones como:
Listar los usuarios del sistema, listar los hashes que permites
descubrir las contraseñas, listar los privilegios, conocer las
bases de datos, así como su estructura (tablas, columnas,
vistas, etc.), permite además la ejecución de consultas
personalizadas.
Hoy en día tiene soporte para motores de bases de datos
conocidos como: Oracle, PostgreSQL, SQL Server, MySQL y
otras bases de datos que siguen aún vigentes como Informix,
DB2, Sybase y Microsoft Access.
Para realizar el primer ataque, se abre el programa Sqlmap,
el cual está integrado a la distribución Kali Linux.
 8

Fig 38. Se abre la consola de Sqlmap

Fig 40. Se prueba la ejecución de scripts en un pequeño ataque XSS
Una vez abierto el programa se escribe la siguiente línea:
Se obtiene el dato correspondiente a la sesión.
Sqlmap -u “http://192.168.0.18/DVWA-master/vulnerabilities/
sqli/?id=2&Submit=Submit” –dbs

Fig 41. Ventana emergente después de inyectar el código javascript

Fig 39. Ejecución de sentencia de inyección utilizando Sqlmap
Se informa que se debe contar con las cookies de la sesión.
Para obtener el dato de las cookies del sitio se abre la
vulnerabilidad de DVWA denominada XSS reflected y se
escribe la siguiente sentencia:
<script>alert(document.cookie)</script>
Se ingresa nuevamente la sentencia de sqlmap pero
adicionalmente con los datos de las cookies.
Sqlmap -u “http://192.168.0.18/DVWA-master/vulnerabilities/
sqli/?id=2&Submit=Submit” –dbs –cookie=”security=low;
PHPSESSID=mq4b1qq219d46dmihla6vbmjp0”
 9

Fig 42. Se realiza un ataque de inyección de código Fig 44. Se ejecuta la sentencia para obtener las tablas de la base de datos dvwa

Aparece la lista de las bases de datos que están vulnerables, Se obtienen las tablas de la base de datos dvwa, cuenta con
para el ejemplo se va a enfocar en la base de datos dvwa. las tablas guestbook y users.

Fig 45. Se obtienen dos tablas después de ejecutar la sentencia en Sqlmap

Fig 43. Se obtienen las bases de datos con la sentencia Sqlmap

Para que aparezcan las tablas que pertenecen a la base de Se va trabajar con la tabla users, por tanto, se ejecuta ahora
datos dvwa ejecutamos el siguiente comando: la siguiente sentencia:

Sqlmap -u “http://192.168.0.18/DVWA-master/vulnerabilities/ Sqlmap -u “http://192.168.0.18/DVWA-master/vulnerabilities/

sqli/?id=2&Submit=Submit” –D dvwa --tables – sqli/?id=2&Submit=Submit” –T users --dump --
cookie=”security=low; cookie=”security=low;
PHPSESSID=mq4b1qq219d46dmihla6vbmjp0” PHPSESSID=mq4b1qq219d46dmihla6vbmjp0”
 10

Fig 48. Confirmación de ataque mediante el uso de un diccionario

A continuación, se visualizan los datos de la tabla users,

con el contenido de los hashes revelados, correspondiente a las
contraseñas de los usuarios.

Fig 46. Sentencia ejecutada para la visualziación de los usuarios del sistema

Se pregunta si en un futuro se desea trabajar con los hashes

de las contraseñas para poder descubrirlas.

Fig 49. Hashes revelados después de ejecutar los comandos Sqlmap

De esta forma se pueden revelar datos que son muy
sensibles y que permiten al atacante acceder a la base de datos
y obtener la información.

E. SEGUNDO ATAQUE, VISUALIZAR CONTENIDO DE LA

PÁGINA, MEDIANTE EL USO DE CURL

CURL, es una herramienta que utiliza la línea de comandos

que tiene como fin la transferencia de datos mediante la URL
o barra de direcciones. Adicionalmente se va a utilizar la
herramienta Burp Suite, la cual permite llevar a cabo pruebas
de seguridad en aplicaciones web, entre las utilidades que
tiene está el servidor proxy, el cual permite examinar y
modificar el tráfico de red, intermediando entre la aplicación
Fig 47. Pregunta si desea guardar los hashes para usarlos con otras web y el navegador del cliente, cuenta con un escáner de
herramientas vulnerabilidades configurable que permite la detección de
vulnerabilidades en aplicaciones web, cuenta con un repetidor
Se pregunta si se desea basar el ataque mediante el uso de que se utiliza para el envío de solicitudes individuales al
diccionario. servidor, entre otras utilidades.

Inicialmente se debe configurar el navegador Firefox con

Burp Suite como proxy y posteriormente capturar algunas
cookies.

Se ingresa a las preferencias del navegador Mozilla.

 11

Fig 50. Se ingresa a las opciones del navegador Mozilla Fig 52. Configuración del proxy en el navegador

Posteriormente en la opción de menú Advanced A continuación, se abre la aplicación Burp Suite, la cual
(Avanzada), seleccionar la pestaña Network (Red). tiene la versión gratuita instalada en la distribución Kali de
Linux.

Fig 51. Opciones avanzadas del navegador Mozilla

En la opción de que por defecto se encuentra en Use system Fig 53. Inicio de Burp Suite
proxy settings, cambiarla a Manual proxy settings, en el
campo HTTP Proxy, colocar la dirección interna del equipo Se aceptan los términos y condiciones del programa Burp
local, para el caso es 127.0.0.1, y en el puerto colocar 8080, Suite.
correspondiente a peticiones HTTP, al finalizar, pulsar el
botón OK.
 12

Fig 54. Aceptación de términos y condiciones

Fig 57. Iniciando Proyecto Buro Suite
Se selecciona la opción Temporary Project (Proyecto
temporal), seguido de la opción Next. Se presenta el ambiente de trabajo de Burp Suite para un
proyecto temporal.

Fig 55. Creación de un proyecto temporal

Se elige a continuación la opción Use Burp defaults para
Fig 58. Ambiente de trabajo Burp Suite
seleccionar las opciones por defecto y se oprime el botón Start
Burp. Se ingresa a la pestaña Proxy y se verifica que esté
configurado el proxy como se configuró anteriormente en el
navegador.

Fig 56. Uso de valores de Burp por defecto

Se inicia el ambiente para poder trabajar en el proyecto.
 13

En la pestaña Raw, se visualizan los parámetros de acceso a

la página de DVWA, se muestran datos como: IP de la
máquina, sistema operativo, navegador y datos de sesión.

Fig 59. Se verifica que el proxy esté configurado para la actividad

Dentro de la pestaña proxy, se encuentra la pestaña

Intercept, dejar activa la opción Intercept is on.

Fig 62. Obtención de los datos de las cookies en la Burp Suite

Pero en el proceso no se obtuvieron datos que puedan servir

para acceder al sitio.

Fig 60. Configuración de Proxy > Intercepts > Intercepts is on

Se ingresa a la página principal del sitio remoto, el cual se
configuró en pasos anteriores en un Linux Ubuntu, la página a
la que se ingresa es http://192.168.0.18/DVWA-master

Fig 63. Historial HTTP con información de las cookies

Se ingresa entonces a la página de autenticación al sitio

DVWA, la dirección es:
http://192.168.0.18/DVWA-master/login.php.

Fig 61. El bloqueo en el proxy impide la visualización de la página


Fig 64. Autenticación en la página DVWA
Se visualiza nuevamente la pestaña Raw, y se visualizan
ahora los datos de acceso al sitio, como nombre de usuario,
contraseña y el token de ingreso del usuario.
Fig 65. Pestaña intercept con información de parámetros y cookies
Se puede ver el historial de acceso en la pestaña HTTP
History, al seleccionar la dirección, se pueden ver los detalles
de la conexión en la parte inferior de la ventana.
14
Fig 66. Pestaña HTTP History con la información de parámetros y cookies
Para llevar a cabo el ataque, se ejecuta la siguiente
sentencia:
curl -b “security=low;
PHPSESSID=mq4b1qq219d46dmihla6vbmjp0” –location
“http://192.168.0.18/DVWA-master/index.php” | grep -i
Welcome
Con esta sentencia se ingresa al sitio mediante los
parámetros de sesión y adicionalmente buscando mediante el
comando grep la palabra Welcome.
Fig 67. Ejecución de la sentencia curl con búsqueda de la palabra Welcome
La ejecución de la sentencia devuelve parte del encabezado
donde se encuentra la palabra Welcome, junto con otros
detalles de ejecución de la operación.
 15

Se ingresa el usuario y como el atacante desconoce la

contraseña, ingresa una contraseña no válida.

Fig 68. Obtención del encabezado donde aparece la palabra Welcome

F. TERCER ATAQUE, FUERZA BRUTA PARA CONOCER Fig 70. Sección fuerza bruta de DVWA
LA CONTRASEÑA DEL USUARIO QUE SE AUTENTICA,
MEDIANTE HYDRA Para poder ver los detalles de la sesión y adquirir las
cookies, se utiliza nuevamente Burp Suite, para empezar, se
Hydra permite llevar a cabo ataques para lograr descubrir crea un proyecto temporal.
contraseñas, cuenta con soporte para varios tipos de protocolo.
En la actualidad tiene soporte para HTTP, FTP, MySQL Cisco
Auth, MS-SQL, IMAP, Asterisk, entre otros.

THC-Hydra es un código de prueba de concepto, que tiene

como objetivo mostrar a consultores en seguridad e
investigadores lo fácil que puede ser el obtener remotamente,
acceso no autorizado a un sistema.

Con este ataque se pretende averiguar la contraseña del

usuario con el que quiere autenticar, para eso se utiliza un
ataque de fuerza bruta.

Inicialmente se debe ingresar a la opción de DVWA

llamada Brute Force (Fuerza Bruta).

Fig 71. Creación de proyecto temporal

Se usa la configuración por defecto de Burp Suite.

Fig 69. Página inicial de DVWA

 16

Igualmente se verifica que el navegador tenga la

configuración del proxy necesaria, para ver esto, se ingresa a
la opción Preferencias.

Fig 72. Uso de valores de Burp por defecto

Se inicializa el proyecto temporal de Burp Suite.

Fig 75. Edición de preferencias del navegador Mozilla

En la sección Advanced (Avanzada), ver la pestaña

Network (Red) y posteriormente la opción Settings (Opciones)
para ver las opciones del Proxy.

Fig 73. Inicio de proyecto

En la pestaña Proxy se encunetra la pestaña Options, que

contiene la configuración del proxy actual.

Fig 76. Opciones avanzadas del navegador Mozilla

Se visualiza que la configuración manual del proxy, va por

la dirección 127.0.0.1 y por el puerto 8080.

Fig 74. Configuración del proxy en Burp Suite

 17

Igualmente se obtiene el error en la Autenticación del

usuario Admin.

Fig 77. Configuración del proxy en el navegador Mozilla

Para el ejercicio se ingresa el usuario Admin y la contraseña

123456.
Fig 80. Mensaje de usuario y/o contraseña incorrecta

Esta misma información se puede ver en la sección HTTP

History, donde se ve el seguimiento de todas las conexiones a
esta dirección.

Fig 78. Autenticación en DVWA con el usuario admin y contraseña inválida

En la primera línea de la sección Intercepts se visualizan los
parámetros que lleva el pulsar el botón Login, los cuales son:
username, password y Login.

Fig 81. Pestaña HTTP History del Burp Suite, con información de las cookies

Para realizar el ataque se escribe la siguiente sentencia en la

consola de Kali Linux:

Hydra 192.168.0.18 -l admin /usr/share/john/password.lst

http-get-form
“/DVWA-master/vulnerabilities/brute/index.php:username=^
USER^&password=^PASS^Login=Login:Username and/or
password incorrect.: H-Cookie: security=low;
PHPSESSID=mq4b1qq219d46dmihla6vmjp0”

Donde Username and/or password incorrect es el mensaje

de error visualizado al ingresar los datos erróneos de
autenticación y security=low;
PHPSESSID=mq4b1qq219d46dmihla6vmjp0 es el contenido
de la cookie que muestra la Burp Suite.
Fig 79. Parámetros obtenidos en el Burp Suite en el intento de autenticación

Fig 82. Obtención de la contraseña del usuario admin de la aplicación DVWA
Al ejecutar la sentencia, se visualiza la contraseña del
usuario Admin, la cual es password, de esta forma se ataca con
fuerza bruta la aplicación DVWA con un nivel de seguridad
bajo.
IV.CONCLUSIONES
DVWA ofrece un ambiente de entrenamiento para
profesionales, investigadores y estudiantes, donde pueden
exploran las vulnerabilidades que ofrece la herramienta y
posteriormente realizar el ataque.
La aplicación Buro Suite permite llevar a cabo pruebas de
seguridad en aplicaciones web, entre las utilidades que tiene
está el servidor proxy, el cual permite examinar y modificar el
tráfico de red, intermediando entre la aplicación web y el
navegador del cliente, cuenta con un escáner de
vulnerabilidades y un repetidor entre otras utilidades.
La consola Sqlmap permite llevar a cabo inyección de
código SQL, aprovechando las vulnerabilidades de los
aplicativos web, permitiendo al atacante tener una gran
variedad de acciones como: Listar usuarios del sistema, hashes
de las contraseñas, privilegios, conocer las bases de datos y su
estructura; permite además la ejecución de consultas
personalizadas. Actualmente tiene soporte para motores de
bases de datos conocidos como: Oracle, PostgreSQL, SQL
Server, MySQL, Informix, DB2, Sybase y Microsoft Access.
La herramienta Curl, utiliza la línea de comandos que tiene,
para transferir datos mediante la URL o barra de direcciones.
Hydra es utilizado para poder descubrir contraseñas, tiene
soporte para protocolos como HTTP, FTP, MySQL Cisco
Auth, MS-SQL, IMAP, Asterisk, entre otros.
18
REFERENCIAS
[1] Gestiona tu Web. Instalar un servidor web en Linux para pruebas
y aprendizaje con XAMPP (Marzo 2017). Disponible en:
https://www.gestionatuweb.net/instalar-un-servidor-web-en-linux-
para-pruebas-y-aprendizaje-con-xampp/
[2] We live Security. Vulnerabilidades web: cómo configurar DVWA
para entender su comportamiento (Enero 2015). Disponible en:
https://www.welivesecurity.com/la-es/2015/01/15/vulnerabilidades-
web-configurar-dvwa-entender-comportamiento/
[3] Damn Vulnerable Web Application (DVWA). Disponible en:
http://www.dvwa.co.uk/
[4] ReyDes. Instalación De Damn Vulnerable Web Application
(DVWA) (Octubre 2015). Disponible en: http://www.reydes.com/d/?
q=Instalacion_de_Damn_Vulnerable_Web_Application_DVWA
[5] Dragon JAR. SQLMap – Herramienta Automática de Inyección
SQL. Disponible en: https://www.dragonjar.org/sqlmap-herramienta-
automatica-de-inyeccion-sql.xhtml
[6] Youtube. Curso de Hacking con Kali Linux: DVWA (SQL
Injection) (Septiembre 2018). Disponible en:
https://www.youtube.com/watch?v=KmbMtiOfTnQ
[7] Solvetic. Cómo usar y ejemplos comando cURL Linux (Agosto
2018). Disponible en:
https://www.solvetic.com/tutoriales/article/5925-como-usar-y-
ejemplos-comando-curl-linux/
[8] Youtube. DVWA - Burp suite y ataque man in the middle
(Febrero 2017). Disponible en: https://www.youtube.com/watch?
v=16yxu9rvmcw
[9] ReyDes. Ataque Remoto De Contraseñas Utilizando THC-Hydra
(Junio 2014). Disponible en: http://www.reydes.com/d/?
q=Ataque_Remoto_de_Contrasenas_utilizando_THC_Hydra
[10] Youtube. Website hacking - Damn Vulnerable Web App
(DVWA) - Brute force password (Low level) (Abril 2017).
Disponible en: https://www.youtube.com/watch?v=G3UlKUX87tE
[11] OpenWebinars. Hacer testeo con Burp Suite (Noviembre 2017).
Disponible en: https://openwebinars.net/blog/hacer-testeo-con-burp-
suite/
Primer Autor: Jaison Josué Ospina Penagos,
(Ibagué, Septiembre 1 de 1979) Ingeniero de
Sistemas egresado de la Universidad de Ibagué
en 2005, con amplia experiencia como
desarrollador tanto en el sector público como en
el privado, actualmente presta sus servicios en el
Instituto para la protección de la niñez y la
Juventud (IDIPRON), desarrollando el sistema
misional de la entidad.
19