En el proyecto se deberán crear 2 máquinas en docker con vuestras respectivas vulnerabilidades de OWASP Top 10 web en cada, cada máquina deberá disponer de diferentes vulnerabilidades en general, los CVE’s de estas siendo de 2023 para adelante, no se permiten CVE’s anteriores.
Se debe documentar como explotar y analizar la máquina, por lo que esta deberá tener las herramientas que creáis necesarias para poder realizar el análisis.
Se deben entregar 2 versiones de cada máquina, una en estado inicial para ser explotada, y otra ya explotada para realizar la investigación, todo esto en docker.
Para esto disponéis de 8 semanas en total:
Semana | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
---|---|---|---|---|---|---|---|---|
Planificación | x | |||||||
--- | --- | --- | --- | --- | --- | --- | --- | --- |
Preparación máquina | x | x | ||||||
--- | --- | --- | --- | --- | --- | --- | --- | --- |
Preparación máquina | x | x | ||||||
--- | --- | --- | --- | --- | --- | --- | --- | --- |
Probar y documentar | x | |||||||
--- | --- | --- | --- | --- | --- | --- | --- | --- |
Aplicar mejoras | x | |||||||
--- | --- | --- | --- | --- | --- | --- | --- | --- |
Creación CTF | x | |||||||
--- | --- | --- | --- | --- | --- | --- | --- | --- |
El proyecto se realizará en grupos de 3, con uno siendo de 4. La nota del proyecto será INDIVIDUAL, por lo que se trabajara con GitHub, donde cada grupo debera crear una rama con sus respectivos integrantes para ser evaluado.
Los grupos están compuestos de la siguiente forma:
Grupo X | Integrante | Integrante | Integrante |
---|---|---|---|
Grupo 1 | Jordi | Joan María | Genís |
--- | --- | --- | --- |
Grupo 2 | Marc Pozo | Joan Escandell | Marc Hannouti |
--- | --- | --- | --- |
Grupo 3 | Michael | Paola | Jose R. |
--- | --- | --- | --- |
Grupo 4 | Marcos | Aaron | Andrades |
--- | --- | --- | --- |
Grupo 5 | Eloi | Alan | Fernando |
--- | --- | --- | --- |
Las vulnerabilidades de OWASP Top 10 web se reparten de la siguiente forma:
Vulnerabilidad | Grupo X |
---|---|
A01:2021 - Pérdida de Control de Acceso | Grupo 3 |
--- | --- |
A02:2021 - Fallas Criptográficas | Grupo 3 |
--- | --- |
A03:2021 - Inyección | Grupo 2 |
--- | --- |
A04:2021 - Diseño Inseguro | Grupo 4 |
--- | --- |
A05:2021 - Configuración de Seguridad Incorrecta | Grupo 1 |
--- | --- |
A06:2021 - Componentes Vulnerables y Desactualizados | Grupo 5 |
--- | --- |
A07:2021 - Fallas de Identificación y Autenticación | Grupo 2 |
--- | --- |
A08:2021 - Fallas en el Software y en la Integridad de los Datos | Grupo 4 |
--- | --- |
A09:2021 - Fallas en el Registro y Monitoreo | Grupo 1 |
--- | --- |
A10:2021 - Falsificación de Solicitudes del Lado del Servidor | Grupo 5 |
--- | --- |
La evaluación individual de cada uno se calcula mediante:
- Reportes diarios en MarkDown.
- Los “push” realizados en GithHub.
La evaluación grupal, igualmente partiendo de la evaluación individual, se calcula mediante:
- Documentación final.
- Docker file .xml.
- “Proof of Concept”.
- Reporte de prueba.
La falta de entrega de tareas diarias o grupales, significa perder el derecho a evaluación del proyecto y una penalización para los otros integrantes del grupo.