valor de referencia aceptado por la industria para justificar el gasto global en aplicaciones Web. Este proyecto OWASP publica informes peridicos recopilando los resultados de en- cuestas como esta. La encuesta es totalmente annima y no reco- pila ningn tipo de informacin personal de los encuestados. Se pondr disposicin de toda la comunidad, adems de nuestro informe, todas las respuestas de las encuestas realizadas. Junto con nuestro informe se publicarn tambin to- das las respuestas para ponerlas a disposicin toda la comunidad. La nueva versin de este proyecto OWASP Security Spending Benchmarks quedar publicado hasta el 15 de Abril. https://www.surveymonkey.com/s/TPYZLXK Contrasea: OWASP_Spending OWASP Security Spending Proj ect Survey Boaz Gelbord Financi acin de Proyectos y Comit Global El modelo de afiliacin se ha extendido a los proyectos y al Consejo Global. Estos grupos podrn encontrar sus propios patrocinadores para crear su propia fuente de ingresos para apoyar el proyecto o el Consejo Global. Como funciona: Los proyectos y los Consejos pueden encontrar sus propios patrocinadores para aportar fon- dos al proyecto o Consejo. La Fundacin OWASP gestionar dichos fondos y los com- partir del mismo modo que con los Captulos, es decir, 40/60 para los miembros corporati- vos. Los fondos recaudados pueden ser utilizados para cubrir los gastos relacionados con el pro- yecto, pero no para pagar a miembros de OWASP. Ejemplos de en qu destinar los fondos recau- dados: Cubrir los gastos de viaje de un miembro del proyecto que fuese a presentarlo en una charla. Impresin de la documentacin referente a un proyecto para ser difundida en eventos. Etiquetado de CDs. Los fondos no pueden ser utilizados para incen- tivar a un miembro del proyecto por el tiempo que ha dedicado a trabajar en el proyecto. Contactar con Kate Hartmann para recaudar fondos de los patrocinadores o si se quiere for- mular cualquier pregunta en referencia a como se est organizando esta nueva iniciativa.
OWASP Conferencias AppSec
2 de J unio, 2010 Froc 2010 Denver, Colorado
J unio 3-4, 2010 OWASP Day Mexico Aguascalientes, Mexico
J unio 21-24, 2010 AppSec Research 2010 Stockholm, Noruega
Septiembre 7 10, 2010 AppSec USA 2010 I rvine, California
Noviembre 16 19, 2010 AppSec Brasi l 2010 Campinas, Brasil 15 de Marzo, 2010 Miembros del Consejo Directivo OWASP J eff Williams Di nis Cruz Dave Wichers Tom Brennan Sebastien Deleersnyder Eoin Keary Matt Tesauro
El evento tendr lugar en el centro de confe- rencias de la UC Irvine en Orange County, Ca- lifornia del 7 al 10 de Septiembre de 2010. Las propuestas deben incluir: Nombre o nombres de los ponentes E-mail y/o telfono de contacto Biografa Ttulo Resumen Cualquier material de la investigacin o herramientas (no se publicar fuera del grupo de seleccin de los trabajos)
El plazo de entrega de las propuestas finalice el 6 de Junio a las 12PM PST (GMT-8). Enviar las propuestas a: http:www.easychair.org/ conferences/?conf=appsec2010 Conference Website OWASP AppSec USA, Cali fornia 2010 Call for Papers El pasado 5 y 6 de Noviembre OWASP orga- niz dos importantes eventos OWASP en Roma y Miln, Italia. El primero fue realizado en colaboracin con CONSIP, una compaa del Ministerio Italia- no de Economa y Finanzas (MEF), que tra- baja para la Administracin Pblica italiana. Ms concretamente, el evento se denomin The Application Security as trigger for the I talian E-Government. La audiencia estaba formada por los CISO de todos los ministe- rios y Administracin Pblica italiana. Las presentaciones se encuentran publicadas en la direccin: http://www.owasp.org/index.php/ Italy_OWASP_Day_E-gov_09 OWASPItaly Day IV en Miln El segundo da fue en Miln contando con ms de 100 asistentes. Hemos dejado presentaciones, fotografas y videos en esta direccin. OWASPItaly Day en Security Summit 2010 18 de Marzo - OWASP Italia presentar Directrices OWASP y herramientas para la segu- ridad en aplicaciones Web en el Security Summit 2010 de Miln, Italia. https://www.securitysummit.it/eventi/view/73 LanzamientoOWASP ESAPI ver. 1.4.4 para J AVA ver. 1.4 y superiores J im Mani co Pgina 2 OWASP Podcasts Series Presentado por J i m Mani co
Ep 60 Jeremiah Grossman and Robert Hansen (Google pays for vulns) Ep 59 AppSec Roundtable with Boaz Gelbord, Ben Tomhave, Dan Cornell, Jeff Williams, Andrew van der Stock and Jim Manico (Aurora+) Ep 58 Interview with Ron Gula (Web Server Scanning, IDS/IPS) aqu: http://owasp-esapi-java.googlecode.com/ svn/trunk_doc/1.4.4/index.html Dudas sobre el uso de ESAPI y su configura- cin? Visitar el enlace: https://lists.owasp.org/ mailman/listinfo/esapi-user y suscribirse a nues- tra lista de correo. Interesado en contribuir? nete a la lista de desarrollo: https://lists.owasp.org/mailman/ listinfo/esapi-dev Control de cambios: http://owasp-esapi-java.googlecode.com/ svn/branches/1.4/changelog.txt Otros enlaces importantes: Descargar el .zip: http://owasp-esapi- java.googlecode.com/files/ESAPI-1.4.4.zip Los Javadocs de ESAPI 1.4.4 se encuentran Explicacin del ataque Hombre en el Medio - MitM Del Blog de Michael Coates 3/ 3/ 2010 Es vulnerable a un ataque de hombre en el medio! Seguro que esto lo habrs escuchado con ante- rioridad, pero veamos los detalles de este ata- que y entendamos exactamente cmo funcio- na. Definicin Primero, una rpida definicin, un ataque de hombre en el medio (en ingls MitM - Man- in-The-Middle) es un ataque en el cual la co- municacin que se intercambia entre dos usua- rios es monitorizada clandestinamente y con posibilidad de ser modificada por un tercero no autorizado. Adems, este tercero estar realizando el ataque en tiempo real (por ejem- plo, la obtencin de registros de eventos o la revisin del trfico capturado no se califica como MitM). Aunque un ataque MitM pueda ser llevado a cabo contra cualquier protocolo o comunica- cin, hablaremos de l a continuacin refirin- donos a trfico HTTP. Requisitos para el ataque Un ataque de MitM puede realizarse de dos for- mas: 1. El atacante tiene el control del router a lo largo del punto normal de comunicacin entre la vctima y el servidor con el que se est comunicando. 2.a. El atacante se encuentra en el mismo domi- nio de broadcast (es decir, subred) que la vcti- ma. 2.b. El atacante se encuentra en el mismo domi- nio de broadcast (es decir, subred) al igual que cualquier otro router utilizado por la vctima para encaminar el trfico. El ataque El artculo completo se encuentra en el blog de Michael Coates OWASP I taly Days Matteo Meucci Buscando empleo en AppSec? Visita la pgina de empleos OWASP Ofertas algn empleo de AppSec? Contacto: Kate Hartmann Proyecto de numeracin comn OWASP Mike Boberski Un desarrollo emocionante, un nuevo sistema de numeracin que ser comn entre las guas de OWASP se ha desarrollado. La numeracin es resultado del esfuerzo de un equipo dirigido por Mike Boberski (lder del proyecto ASVS y coautor). Los colaboradores y coordinadores de los proyectos de la Gua, Referencia y Top Ten OWASP, as como la direccin de OWASP, han trabajado juntos para desarrollar la numera- cin que permite la correlacin sencilla de gu- as y referencias de OWASP, y que permitira, por un perodo de transicin que tanto guas como referencias se actualicen para reflejar el nuevo sistema de numeracin. Este proyecto localizar nmeros retirados y proporcionar un repositorio centralizado con informacin sobre su correlacin. Visitar la pgina del pro- yecto para ms informacin:
http://www.owasp.org/index.php/ Common_OWASP_Numbering ecosistema centrado en la seguridad de su tec- nologa. El ecosistema incluir investigadores (tanto creadores como reticentes), herramien- tas, bibliotecas, directrices, materia de con- cienciacin, normas, educacin, conferencias, foros, canales, anuncios, y mucho ms.
http://www.owasp.org/index.php/ Security_Ecosystem_Project OWASP Broken Web Application Pro- ject http://www.owasp.org/intex.php/ OWASP_Broken_Web_Applicaitons_Project# tab=project_Details Proyecto patrocinado en parte por: Mandiant.
OWASP Ecosystem Project Prevemos una asociacin entre los fabricantes de plataformas de tecnologa y un prspero Dos nuevos proyectos Paulo Coimbra Pgina 3 Gracias a nuestros miembros corporativos que han renovado su aporte a la fundacin OWASP en Enero y Febrero. 134 mil personas estuvieron un total de 1.5 mi ll ones de mi nutos en la web de OWASP en OWASP ASVS Mike Boberski malayo. El proyecto siempre se encuentra abierto a colaboraciones, contactar con mi- ke.boberski@owasp.org en caso de estar inte- resado. Se ha completado la primera traduccin al japons, y se est desarrollando un apndice con una gua de conceptos ASVS en tambin en japons. Se encuentran en proceso las traduc- ciones al francs, alemn, chino, hngaro y Donaciones Hai ti: Donacin total de OWASP: $1378.67 Enviado a: Mdi cos sin fronteras Los fondos fueron destinados como ayuda humanitaria para Haiti . Gua de Desarrollo OWASP - OWASP Development Guide Mike Boberski tarios ya se han registrado. El proyecto sigue abierto a colaboraciones. Pgina del proyecto de la Gua de Desarrollo OWASP: OWASP Development Guide Project Page El trabajo en la nueva iteracin de la gua ha comenzado. La prxima versin de la gua de desarrollo OWASP ser, en efecto, una gua de diseo detallada sobre los requisitos de OWASP ASVS. Un equipo de ms de 26 volun- OWASP ESAPI para PHP Mike Boberski Ha surgido un conjunto de usuarios early- adopters o tempranos. Visitar la pgina del proyecto para obtener ms informacin. Sigue la migracin de ESAPI a PHP. La mayo- ra de las clases principales se han terminado o se encuentran en la ltima fase de su desarro- llo inicial, incluyendo las secciones Security Configuration, Validator, Encoder, y Logger. Fundacin OWASP 9175 Guilford Road Suite #300 Columbia, MD 21046 Telfono: 301-275-9403 Fax: 301-604-8033 E-mail: Kate.Hartman@owasp.org La comuni dad l i bre y abi erta de seguridad en apli caciones. El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en ingls) es una comunidad abierta dedicada a habilitar a las organizaciones para desarrollar, comprar y mante- ner aplicaciones confiables. Todas la herramientas, documentos, foros y captulos de OWASP son gratuitos y abierto a cualquiera interesado en mejorar la seguridad de aplicaciones. Abogamos por resolver la seguridad de aplicaciones como un problema de gente, procesos y tecnologa porque las soluciones mas efectivas incluyen mejoras en todas estas reas. Nos puede encontrar en www.owasp.org. OWASP es un nuevo tipo de organizacin. Nuestra libertad de presiones comerciales nos permite proveer informacin sobre seguridad en aplicaciones sin sesgos, prctica y efectiva. OWASP no est afiliada a ninguna compaa de tecnologa, aun- que soportamos el uso informado de tecnologas de seguridad comerciales. Parecido a muchos proyectos de software de cdigo abierto, OWASP produce muchos materiales en una manera abierta y colaborativa. La Fundacin OWASP es una entidad sin nimo de lucro para asegurar el xito a largo plazo del proyecto.
Editor del boletn: Lorna Alamri Traduccin del boletn: Christian Navarrete y Jos A.Guasch Patrocinadores de la Organizacin OWASP