---

Objetivo: Aplicar Pentesting a servicios HTTP.

Forma de trabajo:

• Esta práctica se realizará de manera individual.

Planteamiento del Problema:

• ¿Cómo protegerse del SQL Injection?

Pre-Requisitos:

• Se requiere una computadora para hacer las pruebas, se recomienda instalar una máquina virtual con una distribución Linux (se recomienda Ubuntu). Aquí se encuentran las instrucciones para la:
  • Instalación de Oracle VM VirtualBox (Mac) (manual en HTML).
• Se requiere instalar un sistema LAMPP (Linux+Apache+MySQL+PHP) en nuestra distribución de Linux, se recomienda instalar el XAMPP. Aquí se encuentran las instrucciones para la:
  • Instalación de Apache-PHP-MySQL (XAMPP en Linux) (manual en HTML).
• Se requiere instalar una página para hacer las pruebas de SQL Injection que contenga un formulario y que trate de ingresar a una sistema. Aquí se encuentran un "Ejemplo 1" que:
  • Registra usuarios y después pregunta los datos para verificar si coincide (Loguearse) con la base de datos (codigo PHP, php_tiendita_login.zip).

Desarrollo:

PARTE 1: conexión HTTP

Hacer un programa en Python que haga lo siguiente:

• Preguntar por la dirección IP de la computadora que tiene instalado el servidor Web (Apache).
• Intentar hacer una conexión HTTP a esta computadora utilizando el método "get" del protocolo HTTP para pedir la página principal.
• Imprimir en pantalla si se pudo hacer la conexión y si se pudo obtener su página principal.
• Para esta parte (y toda la práctica) se debe utilizar el ejemplo anterior ("Ejemplo 1"):

PARTE 2: Búsqueda de Formularios (Web Scraping)

• A acontinuación hay que analizar la página Web principal que obtuvimos (index.html) y buscaremos las etiquetas "form" (formularios html).
• En caso de que la página principal no contenga etiquetas "form", procederemos a buscar los enlaces que contenga la página (etiquetas "a href").
• Dirigirse a la página a donde apuntaba la etiqueta "a href", y repetir el proceso de búsqueda de etiquetas "form" en los nuevos enlaces hasta encontrar alguno.

PARTE 3: Pentesting a SQL

• Ya que tengamos ubicada la página que tiene un formulario (etiqueta "form") procederemos a ubicar la etiqueta "action", para ver hacia donde se van los datos del formulario.
• Ahora se tiene que intentar hacer un "SQL Injection" a través del formulario y enviar los datos a inyectar a la página indicada por el "action".
• Imprimir en pantalla si se pudo hacer el "SQL Injection".

Ejemplos de apoyo para realizar la práctica:

• Registra usuarios y después pregunta los datos para verificar si coincide (Loguearse) con la base de datos (codigo PHP, php_tiendita_login.zip).
• Lee una página Web y la imprime en pantalla usando "urlib" (codigo python, python_web_scraping_leer_pagina.py).
• Lee una página Web y la imprime en pantalla usando "requests" (codigo python, python_web_scraping_leer_pagina_requests.py).
• Extrae enlaces de una página Web (codigo python, python_web_scraping_extraer_enlaces.py).
• Extrae el contenido de un formulario de una página Web (codigo python, python_web_scraping_extraer_formulario.py).
• Envía un formulario por HTTP a un servidor (codigo python, python_seguridad_formulario_enviar.py).
• Registra usuarios y después pregunta los datos para verificar si coincide (Loguearse) con la base de datos (codigo PHP, php_tiendita_login.zip).

Reporte del alumno (resultados):

• Hacer el programa en Python y subirlo al GitHub Classroom.

---