Professional Documents
Culture Documents
ArmandoCarvajal(armando.carvajal@globalteksecurity.com)
GerenteArquitectoSoluciones GlobaltekSecurity
Master en seguridad informtica Universidad Oberta de Catalunya
MasterenseguridadinformticaUniversidadObertadeCatalunya
Especialistaenconstruccindesoftwarepararedes Uniandes
Ing.Sistemas UniversidadInccadeColombia
INDICE
z Definicin de OWASP
z Empresas participantes
z Universidades participantes
z Proyectos crticos de OWASP
z Herramientas de OWASP
z Ejemplos de cdigo vulnerables
z Bibliografa
Qu es OWASP?
z Proyecto open-source para dar a conocer y
contrarrestar las causas del software inseguro
z OWASP es una organizacin sin nimo de
lucro de tipo 501c3 (Normativa de EEUU)
z www.owasp.org
z Inicia el 9 de Septiembre de 2001
z Fundada por Mark Curphey y Dennis Groves
OWASP
z Actualmente tiene ms de 7000 miembros y
estn divididos en 130 captulos locales
z La lista de correo para Colombia se encuentra
en la siguiente
g direccin:
https://lists.owasp.org/mailman/listinfo/owasp-
colombia
Empresas participantes:
Universidades participantes:
p p
Proyectos
y de OWASP
Construccin de Aplicaciones Educacin
Tomado dehttp://www.owasp.org
Proyecto: Top 10
z A partir de 2010 lista los 10
riesgos de seguridad mas
crticos en aplicaciones Web
z La gua cuenta con la
explicacin y clasificacin
del riesgo, consejos de
cmo determinar si se est
en riesgo y cmo prevenirlo,
prevenirlo
contiene ejemplos de Video: No es lo mismo
escenarios de ataque y vulnerabilidad que riesgo
referencias bibliogrficas
Comparacin
p de los Top
p 10
Inyeccin
12 XSS
Autenticacin y Sesin
10 Referencia Directa
CSRF
8 Configuracin Errnea
Almacenamiento
6 Acceso URL
Capa Transporte
4
Redireccin invlida
Malware
2
Gestin de Errores
V lid i C
Validacin Campos
0
2004 2007 2010
Desbordamiento de Pila
A o Denegacin de Servicio
P
Proyecto:
t Testing
T ti Guide
G id
Gua para definir una metodologa de pruebas de
seguridad en entornos Web enfocada en el SLDC
(Ciclo de Vida del Desarrollo de Software)
Modelos
De
Amenazas
A) B)
C)
Respuesta correcta: C)
A) B)
C)
HERRAMIENTAS
WebScarab
z Herramienta desarrollada en Java que
permite
it llevar
ll acabo
b pruebas
b d seguridad
de id d
sobre aplicaciones y servicios Web
z Ob
Observa ell trfico
t fi HTTP y HTTPS actuando
t d
como proxy entre el cliente y el servidor,
pudiendo modificar la informacin
transmitida
z http://sourceforge net/projects/owasp/files/W
http://sourceforge.net/projects/owasp/files/W
ebScarab/
WebScarab...
z Analiza los cookies para determinar si son
predecibles
d ibl los
l tokens
t k d sesin
de i
z Realiza sustitucin automatizada de
parmetros
t para detectar
d t t validaciones
lid i d
de
entradas deficientes
z http://www owasp org/index php/Category:O
http://www.owasp.org/index.php/Category:O
WASP_WebScarab_Project
WebScarab
WebGoat
z Aplicacin J2EE que fue desarrollada
i t
intencionalmente
i l t insegura
i con ell fin
fi de
d
ensear las vulnerabilidades de las
aplicaciones Web mediante ejemplos
prcticos sobre la misma aplicacin
z http://sourceforge net/projects/owasp/files/W
http://sourceforge.net/projects/owasp/files/W
ebGoat
WebGoat
z Aborda temas como:
XSS
SQL Injection
M i l i de
Manipulacin d campos ocultos
lt
Cookies de sesin
Control de Acceso
Web Services
Fugas
g de informacin
CODIGO CON ALGUNOS
ERRORES
Error: No cifrar datos sensibles
Error: No validar metacaracteres
Error: phpinfo.php
Error: Herramientas no ven todo
Error: Herramientas no ven todo
HERRAMIENTAS
DEMO
WebScarab
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Excelente ejemplo de esfuerzo en
asegurar aplicaciones
Algunas conclusiones:
z Hay que usar metodologas de desarrollo
seguro como OWASP en todas t d las
l etapas
t
del ciclo de vida del software
z S debe
Se d b cifrar
if lla iinformacin
f i sensible
ibl
z El hacking tico usa herramientas para
buscar vulnerabilidades pero no se debe
excluir la comprobacin por parte de un
especialista (confirmacin con penetracin)
Algunas conclusiones:
z Hay que revisar todos las superficies de
ataque de las aplicaciones
z Hay que usar autenticacin biomtrica para
reforzar los actuales p
passwords dbiles
z Ya existe el diccionario generado por fuerza
bruta de 5 caracteres
z En el 2011 ya estar listo el diccionario de
fuerza bruta para 6 caracteres
z 2013: Diccionario 8 caracteres 4 Petabytes
Bibliografa
z AGUILERA, V. Aportacin de la OWASP a la
comunidad
id d iinternacional.
t i l Th
The OWASP
Foundation. Marzo 2008
z FERNNDEZ J.
FERNNDEZ, J Presentacin
P t i del
d l proyecto
t
OWASP. Conferencias FIST. Madrid.
Diciembre 2005
z OWASP Foundation. Gua de pruebas
OWASP Versin 3, 3 2008
Bibliografa
z OWASP Foundation. OWASP Top 10
2010 Th
2010. The tten mostt critical
iti l WWebb applications
li ti
security risks 2010
z OWASP Foundation.
F d ti Una
U gua para construir
t i
aplicaciones y servicios Web seguros. Julio
de 2005
z Paco Hope & Ben Walther, Web security
Testing Cookbook,
Cookbook Oreilly
O reilly, 2009