Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Guía para el desarrollo del componente práctico

1. Descripción general del curso

Escuela o Unidad Escuela de Ciencias Básicas, Tecnología e Ingeniería
Académica
Nivel de formación Especialización

Campo de Formación Formación disciplinar

Nombre del curso Seguridad en Aplicaciones Web

Código del curso 233008
Tipo de curso Metodológico Habilitable Si N X
o
Número de créditos 2

2. Descripción de la actividad

Laboratorio Laboratorio remoto Simulador

físico
Tipo de Experiencias
Trabajos de Software
práctica X profesionales
campo especializado
dirigidas
Otro Cuál
Número de
Tipo de actividad: Individual X Colaborativa 3
semanas
Momento de la Intermedia,
Inicial X Final
evaluación: unidad:
Peso evaluativo de la actividad Entorno donde se realiza:
170
(si lo tiene): Aprendizaje Práctico
Fecha de inicio de la actividad: Fecha de cierre de la actividad:
Práctica 1: marzo 7, 2020 Práctica 1: marzo 27, 2020
Práctica 2: abril 18, 2020 Práctica 2: mayo 8, 2020
Temáticas que aborda componente práctico:
Práctica 1:
 Protocolos de la Web
 Vulnerabilidades de las aplicaciones Web
 Tipos de ataques a las aplicaciones Web
Práctica 2:
 Evaluación de la seguridad en aplicaciones Web
  Mejoramiento de la seguridad en aplicaciones Web
Actividades a desarrollar

Practica 1

Paso 1: Utilizar una herramienta de máquina virtual (por ejemplo VirtualBox) para
instalar dos distribuciones de Linux, la primera distribución será la que el estudiante
prefiera (puede ser Ubuntu, Debian u otra), la segunda será Kali Linux. Para acceder
a los sistemas operativos solicitados debe dirigirse al entorno de Aprendizaje
práctico – Descargar Kali Linux, y en la misma ruta encontrará – Descargar Debian.

En la primera máquina virtual pondrá en funcionamiento un servidor Apache y en

este instalará la aplicación DVWA (Damn Vulnerable Web Application), para lo cual
deberá también instalar los paquetes requeridos como Apache, PHP y MySQL, o en
su defecto alguna herramienta que los integre como XAMP.

Paso 2: Una vez esté en funcionamiento el servidor y la aplicación DVWA, el

estudiante se conectará al servidor Apache desde la máquina con Kali Linux.

Paso 3: Haciendo uso de herramientas de recopilación de información (como nmap

y dmitry) disponibles en Kali Linux, explorar el servidor Apache y obtener
información que considere importante para la seguridad del mismo.

Practica 2

En la práctica 1 se implementó un servidor Web, en esta práctica 2 se trata de

mejorar su seguridad.
El estudiante investiga qué es, para qué sirve y cómo se utiliza una Web Application
Firewall (WAF).

El estudiante realiza tres ataques desde Kali Linux a su servidor Web y toma
evidencia de los resultados.

Luego, selecciona una herramienta WAF de software libre, la instala y configura en

la máquina Linux que tiene su servidor de Web.

Realiza nuevamente los mismos tres ataques, toma evidencia de los resultados y los
compara con los obtenidos en la primera ejecución.
Entorno para
Entorno de aprendizaje práctico
su desarrollo:
Practica 1
El estudiante Entregará un informe de la práctica, en el que
incluye lo siguiente:

1. Descripción del proceso de instalación de las

distribuciones y evidencias del mismo. Las distribuciones
deben tener como nombre de dominio el nombre y
apellido del estudiante.
2. Descripción del proceso de instalación del servidor
Apache y de DVWA.
3. Evidencia de la exploración del servidor con
herramientas de Kali Linux y los resultados obtenidos.
4. Conclusiones
Productos a
5. Referencias
entregar por el
estudiante:
Practica 2
Un informe sobre la realización de la práctica en el que
incluye:

1. Documentación sobre herramientas WAF.

2. Informe y evidencias de pruebas de penetración al
servidor antes de instalar el WAF.
3. Descripción de la instalación y configuración del WAF.
4. Informe con evidencias de las pruebas de penetración
una vez instalado el WAF.
5. Conclusiones

6. Referencias
Tipo de No se entrega ningún
Individual X
producto: Colaborativo producto
Individual:
El documento debe utilizar una fuente legible a 12 puntos, con espacio interlineado a
1,5 y en papel tamaño carta. Se entrega en formato pdf.
Colaborativo
No aplica

3. Formato de Rubrica de evaluación Practica 1

Formato rúbrica de evaluación
Tipo de Actividad Actividad
x
actividad: individual colaborativa
Momento de la Intermedia,
Inicial 1 Final
evaluación unidad
Niveles de desempeño de la actividad individual Puntaje
Aspectos
evaluados Valoración
Valoración media Valoración baja
alta
 El estudiante
presento el trabajo
de forma El estudiante no
El estudiante
aceptable, pero presento el
presento un
está incompleto, no informe, o este no
trabajo
Trabajo tiene la estructura cumple con las
completo y bien  10
Escrito adecuada o especificaciones de
elaborado.
presenta faltas de la guía.
redacción y
ortografía.
(Hasta 10
(Hasta 5 puntos) (Hasta 0 puntos)
puntos)
El informe muestra
El informe que se instalaron El informe no
muestra que se las distribuciones, muestra que se
Instalación instalaron pero la información hubieran instalado
de correctamente es incompleta o no las dos
 20
distribucio- las dos se observa que las distribuciones de
nes de Linux distribuciones funcionaran Linux.
adecuadamente
(Hasta 20 (Hasta 10
(Hasta 0 puntos)
puntos) puntos)
Instalación El informe El informe muestra No se presenta 20 
de servidor y muestra que se que se instalaron el información sobre
aplicación instalaron y servidor y la la instalación de
Web están aplicación pero no Apache y DVWA
funcionado el incluye información
servidor Apache que evidencie su
 y la aplicación
funcionamiento.
DVWA
(Hasta 20 (Hasta 10
(Hasta 0 puntos)
puntos) puntos)
El informe El informe muestra
muestra el que se intentó El informe no
proceso de obtener evidencia que se
Recopilación recopilación de información del hubieran recopilado
de información y la servidor, pero no información del  35
información  información se evidencia que se servidor.
obtenida hubiera obtenido.
(Hasta 35 (Hasta 17
(Hasta 0 puntos)
puntos) puntos)
Calificación final 85 

3. Formato de Rubrica de evaluación Practica 2

Formato rúbrica de evaluación
Tipo de Actividad Actividad
x
actividad: individual colaborativa
Momento de la Intermedia,
Inicial 2 Final
evaluación unidad
Niveles de desempeño de la actividad individual Puntaje
Aspectos
Valoración
evaluados Valoración media Valoración baja
alta
 El estudiante
presento el trabajo
de forma El estudiante no
El estudiante
aceptable, pero presento el
presento un
está incompleto, no informe, o este no
trabajo
Trabajo tiene la estructura cumple con las
completo y bien  10
Escrito solicitada o especificaciones de
elaborado.
presenta faltas de la guía.
redacción y
ortografía.
(Hasta 10
(Hasta 5 puntos) (Hasta 0 puntos)
puntos)
Documentaci El estudiante El informe presenta No se presenta  30
ón de WAF investigó y documentación documentación
 sobre WAF, pero
documentó
ésta no se hizo
correctamente sobre WAF
adecuadamente o
las WAF
está incompleta.
(Hasta 30 (Hasta 10
(Hasta 0 puntos)
puntos) puntos)
Se presenta
Se evidencia información del El informe no
que se desarrollo de las evidencia que se
realizaron las pruebas, pero no hubieran realizado
tres pruebas es suficiente para las pruebas, o la
Realización solicitadas, verificar el evidencia indica
 45
de pruebas  antes y después cumplimiento de que se realizaron
de instalar la las mismas, o no se de forma
WAF realizaron las inadecuada.
pruebas completas
(Hasta 45 (Hasta 17
(Hasta 0 puntos)
puntos) puntos)
Calificación final 85