OWASP: Un punto de vista

pragmtico para el desarrollo de

aplicaciones web
seguras

ArmandoCarvajal(armando.carvajal@globalteksecurity.com)
GerenteArquitectoSoluciones GlobaltekSecurity
Master en seguridad informtica Universidad Oberta de Catalunya
MasterenseguridadinformticaUniversidadObertadeCatalunya
Especialistaenconstruccindesoftwarepararedes Uniandes
Ing.Sistemas UniversidadInccadeColombia
 INDICE
z Definicin de OWASP
z Empresas participantes
z Universidades participantes
z Proyectos crticos de OWASP
z Herramientas de OWASP
z Ejemplos de cdigo vulnerables
z Bibliografa
Qu es OWASP?
z Proyecto open-source para dar a conocer y
contrarrestar las causas del software inseguro
z OWASP es una organizacin sin nimo de
lucro de tipo 501c3 (Normativa de EEUU)
z www.owasp.org
z Inicia el 9 de Septiembre de 2001
z Fundada por Mark Curphey y Dennis Groves
OWASP
z Actualmente tiene ms de 7000 miembros y
estn divididos en 130 captulos locales
z La lista de correo para Colombia se encuentra
en la siguiente
g direccin:
https://lists.owasp.org/mailman/listinfo/owasp-
colombia
Empresas participantes:
Universidades participantes:
p p
 Proyectos
y de OWASP
Construccin de Aplicaciones Educacin

zBuilding Guide zTop 10

zCLASP zWebGoat
zAJAX zConferencias
z.NET, JAVA, PHP, Python, Ruby zSite Generator
Verificacin Comunidad

zTesting Guide zChapters

zWebScarab zWiki Portal
zValidation zMailing List
zCertification zBlogs

Adaptado de Aportacin de OWASP a la comunidad internacional http://www.owasp.org/index.php/Spain

Principales Proyectos
z Publicaciones
Top Ten
Testing Guide
B ildi G
Building Guide
id
z Herramientas
WebScarab
WebGoat

Tomado dehttp://www.owasp.org
Proyecto: Top 10
z A partir de 2010 lista los 10
riesgos de seguridad mas
crticos en aplicaciones Web
z La gua cuenta con la
explicacin y clasificacin
del riesgo, consejos de
cmo determinar si se est
en riesgo y cmo prevenirlo,
prevenirlo
contiene ejemplos de Video: No es lo mismo
escenarios de ataque y vulnerabilidad que riesgo
referencias bibliogrficas
Comparacin
p de los Top
p 10
Inyeccin
12 XSS
Autenticacin y Sesin
10 Referencia Directa
CSRF
8 Configuracin Errnea
Almacenamiento
6 Acceso URL
Capa Transporte
4
Redireccin invlida
Malware
2
Gestin de Errores
V lid i C
Validacin Campos
0
2004 2007 2010
Desbordamiento de Pila
A o Denegacin de Servicio
P
Proyecto:
t Testing
T ti Guide
G id
Gua para definir una metodologa de pruebas de
seguridad en entornos Web enfocada en el SLDC
(Ciclo de Vida del Desarrollo de Software)

Tomado de Gua de pruebas OWASP http://www.owasp.org

Entorno de Pruebas
z Fase 1: Antes de empezar el desarrollo

Tomado de Gua de pruebas OWASP http://www.owasp.org

Entorno de Pruebas
z Fase 2: Durante definicin y diseo

Tomado de Gua de pruebas OWASP http://www.owasp.org

Entorno de Pruebas

Modelos
De
Amenazas

Tomado de Gua de pruebas OWASP http://www.owasp.org

Entorno de Pruebas
z Fase 3: Durante el desarrollo

Tomado de Gua de pruebas OWASP http://www.owasp.org

Entorno de Pruebas
z Fase 4: Durante el despliegue

Tomado de Gua de pruebas OWASP http://www.owasp.org

Entorno de Pruebas
z Fase 5: Mantenimiento y Operacin

Tomado de Gua de pruebas OWASP http://www.owasp.org

Proyecto: Building Guide
z El ttulo original es A Guide to Building
S
Secure W b Applications
Web A li ti and
d Web
W b Services
S i
z Es una gua para disear, desarrollar y
d
desplegar
l aplicaciones
li i W b Seguras,
Web S
implementar buenas prcticas, determinar si
se es vulnerable y cmo corregir las
deficiencias
Building Guide...
z Aborda temas como:
Principios
P i i i de d codificacin
difi i segura
Modelado de riesgos y amenazas
Pagos en linea
Phishing
Servicios Web
Autenticacin (Contraseas, Captcha)
Autorizacin (ACLs)
Manejo de Sesiones
Building Guide
z Aborda temas como:
Validacin de Datos
Manejo de Errores y Logs
Si t
Sistema d Archivos
de A hi
Buffer Overflows Video: El genero
femenino no sufre de
Cifrado de datos confidenciales B ff Overflows
Buffer O fl
Denegacin de servicio
XSS
Concurso millonario: Qu es OWASP?

A) B)

Especie de insectos himenpteros Una banda de msica rock americana

C)
Respuesta correcta: C)

A) B)

Especie de insectos himenpteros Una banda de msica rock americana

C)
HERRAMIENTAS
WebScarab
z Herramienta desarrollada en Java que
permite
it llevar
ll acabo
b pruebas
b d seguridad
de id d
sobre aplicaciones y servicios Web
z Ob
Observa ell trfico
t fi HTTP y HTTPS actuando
t d
como proxy entre el cliente y el servidor,
pudiendo modificar la informacin
transmitida
z http://sourceforge net/projects/owasp/files/W
http://sourceforge.net/projects/owasp/files/W
ebScarab/
WebScarab...
z Analiza los cookies para determinar si son
predecibles
d ibl los
l tokens
t k d sesin
de i
z Realiza sustitucin automatizada de
parmetros
t para detectar
d t t validaciones
lid i d
de
entradas deficientes
z http://www owasp org/index php/Category:O
http://www.owasp.org/index.php/Category:O
WASP_WebScarab_Project
WebScarab
WebGoat
z Aplicacin J2EE que fue desarrollada
i t
intencionalmente
i l t insegura
i con ell fin
fi de
d
ensear las vulnerabilidades de las
aplicaciones Web mediante ejemplos
prcticos sobre la misma aplicacin
z http://sourceforge net/projects/owasp/files/W
http://sourceforge.net/projects/owasp/files/W
ebGoat
WebGoat
z Aborda temas como:
XSS
SQL Injection
M i l i de
Manipulacin d campos ocultos
lt
Cookies de sesin
Control de Acceso
Web Services
Fugas
g de informacin
CODIGO CON ALGUNOS
ERRORES
Error: No cifrar datos sensibles
Error: No validar metacaracteres
Error: phpinfo.php
Error: Herramientas no ven todo
Error: Herramientas no ven todo
 HERRAMIENTAS
DEMO
WebScarab
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Excelente ejemplo de esfuerzo en
asegurar aplicaciones
Algunas conclusiones:
z Hay que usar metodologas de desarrollo
seguro como OWASP en todas t d las
l etapas
t
del ciclo de vida del software
z S debe
Se d b cifrar
if lla iinformacin
f i sensible
ibl
z El hacking tico usa herramientas para
buscar vulnerabilidades pero no se debe
excluir la comprobacin por parte de un
especialista (confirmacin con penetracin)
Algunas conclusiones:
z Hay que revisar todos las superficies de
ataque de las aplicaciones
z Hay que usar autenticacin biomtrica para
reforzar los actuales p
passwords dbiles
z Ya existe el diccionario generado por fuerza
bruta de 5 caracteres
z En el 2011 ya estar listo el diccionario de
fuerza bruta para 6 caracteres
z 2013: Diccionario 8 caracteres 4 Petabytes
Bibliografa
z AGUILERA, V. Aportacin de la OWASP a la
comunidad
id d iinternacional.
t i l Th
The OWASP
Foundation. Marzo 2008
z FERNNDEZ J.
FERNNDEZ, J Presentacin
P t i del
d l proyecto
t
OWASP. Conferencias FIST. Madrid.
Diciembre 2005
z OWASP Foundation. Gua de pruebas
OWASP Versin 3, 3 2008
Bibliografa
z OWASP Foundation. OWASP Top 10
2010 Th
2010. The tten mostt critical
iti l WWebb applications
li ti
security risks 2010
z OWASP Foundation.
F d ti Una
U gua para construir
t i
aplicaciones y servicios Web seguros. Julio
de 2005
z Paco Hope & Ben Walther, Web security
Testing Cookbook,
Cookbook Oreilly
O reilly, 2009