Creado por Fernando Mengali
YpreyPHP es un marco de aplicación web con vulnerabilidades del OWASP TOP 10. El marco fue desarrollado para enseñar y aprender detalles en Pentest (pruebas de penetración) y seguridad de aplicaciones. En el contexto de la seguridad ofensiva, las vulnerabilidades contenidas en las aplicaciones web pueden identificarse, explotarse y comprometerse. Para los profesionales y específicos de la seguridad de aplicaciones, el marco proporciona una comprensión profunda de las vulnerabilidades a nivel de código. Actualmente, Yrprey es uno de los frameworks con mayor número de vulnerabilidades en el mundo, lo que lo hace valioso para fines educativos, de aprendizaje y de enseñanza en el área de Seguridad de la Información. Para obtener más información sobre las vulnerabilidades, recomendamos explorar los detalles disponibles en yrprey.com.
Inicialmente, un usuario no registrado tiene acceso a información mínima sobre el marco, como la página de destino. Al registrarse, el usuario puede iniciar sesión, obteniendo así un token que servirá para adquirir productos. Las características incluyen herramientas de compra, personajes de dibujos animados, publicación de mensajes en el libro de visitas, etc. El marco se creó en base a vulnerabilidades y no se recomienda su uso para negocios y ventas de servicios.
En esta sección, tenemos una comparación de las vulnerabilidades presentes en el marco con las rutas y una comparación entre la aplicación web OWASP TOP 10. Esta tabla facilita la comprensión de cómo explotar las vulnerabilidades en cada función sistémica. En las dos últimas columnas tenemos un paréntesis y el escenario asociado a las Aplicaciones Web OWASP TOP 10, facilitando la comprensión de la teoría descrita en la página https://owasp.org/www-project-top-ten/. Después de comprender el escenario y la ruta vulnerable, el proceso de identificación y explotación de vulnerabilidades se vuelve más fácil. Si es un profesional de seguridad de aplicaciones, conocer el escenario y las rutas de los puntos finales facilita el proceso de identificación y corrección de vulnerabilidades con técnicas manuales de seguridad de revisión de código o análisis automatizados SAST, SCA y DAST.
Tabla completa con puntos vulnerables, detalles de vulnerabilidades y una comparación entre las 10 vulnerabilidades de aplicaciones web OWASP TOP:
| Qtde | Método | Camino | Detalles |
|---|---|---|---|
| 01 | CONSEGUIR | /búsqueda.php | Inyección MySQL |
| 02 | CONSEGUIR | /búsqueda.php | Secuencias de comandos entre sitios: Reflect (RXSS) |
| 03 | CONSEGUIR | /tools.php?id={numer_id} | Inyección MySQL |
| 04 | CONSEGUIR | /warriors.php?id={numer_id} | Inyección MySQL |
| 05 | CORREO | /libro de visitas.php | Secuencias de comandos entre sitios: almacenadas (XSS) |
| 06 | CORREO | /iniciar sesión.php | Inyección MySQL (' o 1=1#) |
| 07 | CONSEGUIR | /change.php?contraseña={cadena} | Falsificación de solicitudes entre sitios (CSRF) |
| 08 | CONSEGUIR | /profile.php?id={cadena} | Manipulación de parámetros web |
| 09 | N / A | /index.php | Secuestro de sesión (cookie de manipulación) |
| 10 | CONSEGUIR | /phpinfo.php | Mala configuración |
| 11 | CONSEGUIR | /js/jquery-1.5.1.js | Secuencias de comandos entre sitios: Reflect (RXSS) |
| 12 | CONSEGUIR | /js/jquery-1.5.1.js | Contaminación prototipo |
| 13 | CONSEGUIR | /js/lodash-3.9.0.js | Contaminación prototipo |
| 14 | CONSEGUIR | /js/lodash-3.9.0.js | Inyección de comando |
| 15 | CONSEGUIR | /js/lodash-3.9.0.js | Denegación de servicio de expresión regular (ReDoS) |
| 16 | CONSEGUIR | /js/bootstrap-4.1.3.js | Contaminación prototipo |
| 17 | CONSEGUIR | /WS_FTP.LOG | Mala configuración |
| 18 | CONSEGUIR | /registro.php | Ejecución remota de comandos - (RCE) |
Puedes probar en Xampp o cualquier otra plataforma que admita PHP y MySQL.
¡Por favor, evite realizar esta acción y solicitar un CVE!
La aplicación tiene intencionalmente algunas vulnerabilidades, la mayoría de ellas son conocidas y tratadas como lecciones aprendidas. Otros, a su vez, están más “ocultos” y puedes descubrirlos por tu cuenta. Si tienes un deseo genuino de demostrar tus habilidades para encontrar estos elementos adicionales, te sugerimos que compartas tu experiencia en un blog o crees un video. Seguramente hay personas interesadas en conocer estos matices y cómo los identificaste. Al enviarnos el enlace, podemos incluso considerar incluirlo en nuestras referencias.
