Hackazon: una aplicación web vulnerable de e-commerce para practicar

Hackazon es un máquina intencionadamente vulnerable que simula ser una tienda online y que incorpora las últimas tecnologías que se usan actualmente: un interfaz AJAX, un workflow realista de e-commerce e incluso un API RESTful para una aplicación móvil


Aunque Dan Kuykendall aka @dan_kuyendall de NT OBJECTives (ahora Rapid7) la presentó ya hace casi 3 años, en el 2014 en la APP Sec USA de OWASP, sigue siendo una interesante opción a la hora de montar un laboratorio de prácticas.

Hackazon es de código abierto y permite además configurar cada área de la aplicación con el fin de cambiar el panorama de vulnerabilidades y así evitar "pruebas conocidas de vulnerabilidades" o cualquier otra forma de "engaño".

Dado que la aplicación incluye interfaces RESTful que potencian la funcionalidad AJAX y clientes móviles (JSON, XML, GwT y AMF), los usuarios necesitarán las últimas herramientas y técnicas para descubrir todas las vulnerabilidades. Hackazon también requiere probar detalladamente los flujos de trabajo, como carritos de compras, que se utilizan comúnmente en aplicaciones empresariales.

Instalación (entorno WAMP)
  •     Descarga el código
  •     Configura el DOCUMENT_ROOT a /web. Asegúrate de que está activado el soporte de htaccess y REWRITE.
  •     Copia /assets/config/db.sample.php a /assets/config/db.php
  •     Cambia la configuración para la BD en /assets/config/db.php
  •     Abre http://yoursitename/install
* La imagen de Docker está todavía en desarrollo: https://community.rapid7.com/thread/9554

Características
Detalles técnicos

Wiki: https://github.com/rapid7/hackazon/wiki

Manual de usuario (pdf): https://community.rapid7.com/servlet/JiveServlet/downloadBody/3452-102-3-8267/Hackazon_User%27s_Guide.pdf

Comentarios

Publicar un comentario