OWASP: Un punto de vista. aplicaciones web seguras

Tamaño: px

Comenzar la demostración a partir de la página:

Download "OWASP: Un punto de vista. aplicaciones web seguras"

Carmen Mora Rico
hace 8 años
Vistas:

1 OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal Gerente Arquitecto Soluciones Globaltek Security Master en seguridad informáticauniversidad Oberta de Catalunya Especialista en construcción de software para redes Uniandes Ing. Sistemas Universidad Incca de Colombia

com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

2 INDICE Definición de OWASP Empresas participantes Universidades participantes Proyectos críticos de OWASP Herramientas de OWASP Ejemplos de código vulnerables Bibliografía

3 Qué es OWASP? Proyecto open-source para dar a conocer y contrarrestar las causas del software inseguro OWASP es una organización sin ánimo de lucro de tipo 501c3 (Normativa de EEUU) Inicia el 9 de Septiembre de 2001 Fundada por Mark Curphey y Dennis Groves

del software inseguro OWASP es una organización sin ánimo de lucro

4 OWASP Actualmente tiene más de 7000 miembros y están divididos en 130 capítulos locales La lista de correo para Colombia se encuentra en la siguiente dirección:

para Colombia se encuentra en la siguiente dirección:

5 Empresas participantes:

6 Universidades participantes: p

7 Proyectos de OWASP Construcción de Aplicaciones Educación Building Guide CLASP AJAX.NET, JAVA, PHP, Python, Ruby Verificación Top 10 WebGoat Conferencias Site Generator Comunidad Testing Guide WebScarab Validation Certification Chapters Wiki Portal Mailing List Blogs Adaptado de Aportación de OWASP a la comunidad internacional

Comunidad Testing Guide WebScarab Validation Certification Chapters Wiki Portal Mailing

8 Principales Proyectos Publicaciones Top Ten Testing Guide Building Guide Herramientas WebScarab WebGoat Tomado dehttp://

9 Proyecto: Top 10 A partir de 2010 lista los 10 riesgos de seguridad mas críticos en aplicaciones Web La guía cuenta con la explicación y clasificación del riesgo, consejos de cómo determinar si se está en riesgo y cómo prevenirlo, contiene ejemplos de escenarios de ataque y referencias bibliográficas Video: No es lo mismo vulnerabilidad que riesgo

de cómo determinar si se está en riesgo y cómo prevenirlo, contiene ejemplos de

10 Comparación de los Top Inyección XSS Autenticación y Sesión Referencia Directa CSRF 8 Configuración Errónea Almacenamiento 6 Acceso URL Capa Transporte 4 Redirección inválida Año Malware Gestión de Errores Validación ió Campos Desbordamiento de Pila Denegación de Servicio

URL Capa Transporte 4 Redirección inválida 2 0 2004 2007 2010 Año Malware

11 Proyecto: Testing Guide Guía para definir una metodología de pruebas de seguridad en entornos Web enfocada en el SLDC (Ciclo de Vida del Desarrollo de Software) Tomado de Guía de pruebas OWASP

enfocada en el SLDC (Ciclo de Vida del Desarrollo de

12 Entorno de Pruebas Fase 1: Antes de empezar el desarrollo Tomado de Guía de pruebas OWASP

13 Entorno de Pruebas Fase 2: Durante definición y diseño Tomado de Guía de pruebas OWASP

14 Entorno de Pruebas Modelos De Amenazas Tomado de Guía de pruebas OWASP

15 Entorno de Pruebas Fase 3: Durante el desarrollo Tomado de Guía de pruebas OWASP

16 Entorno de Pruebas Fase 4: Durante el despliegue Tomado de Guía de pruebas OWASP

17 Entorno de Pruebas Fase 5: Mantenimiento y Operación Tomado de Guía de pruebas OWASP

18 Proyecto: Building Guide El título original es A Guide to Building Secure Web Applications and Web Services Es una guía para diseñar, desarrollar y desplegar aplicaciones i Web Seguras, implementar buenas prácticas, determinar si se es vulnerable y cómo corregir las deficiencias

desarrollar y desplegar aplicaciones i Web Seguras, implementar

19 Building Guide... Aborda temas como: Pi Principiosi i decodificación ió segura Modelado de riesgos y amenazas Pagos en linea Phishing Servicios Web Autenticación (Contraseñas, Captcha) Autorización (ACLs) Manejo de Sesiones

20 Building Guide Aborda temas como: Validación de Datos Manejo de Errores y Logs Sistema de Archivos Buffer Overflows Cifrado de datos confidenciales Denegación de servicio XSS Video: El genero femenino no sufre de Buffer Overflows

Overflows Cifrado de datos confidenciales Denegación de

21 Concurso millonario: Qué es OWASP? A) B) Especie de insectos himenópteros Una banda de música rock americana C)

22 Respuesta correcta: C) A) B) Especie de insectos himenópteros Una banda de música rock americana C)

23 HERRAMIENTAS

24 WebScarab Herramienta desarrollada en Java que permite llevar acabo pruebas de seguridad d sobre aplicaciones y servicios Web Observa el tráfico HTTP y HTTPS actuando como proxy entre el cliente y el servidor, pudiendo modificar la información transmitida ebscarab/

25 WebScarab... Analiza los cookies para determinar si son predecibles los tokens de sesión Realiza sustitución automatizada de parámetros para detectar t validaciones i de entradas deficientes org/index php/category:o WASP_WebScarab_Project

26 WebScarab

28 WebGoat Aplicación J2EE que fue desarrollada intencionalmente i t insegura con el fin de enseñar las vulnerabilidades de las aplicaciones Web mediante ejemplos prácticos sobre la misma aplicación ebgoat

29 WebGoat Aborda temas como: XSS SQL Injection Manipulación ió de campos ocultos Cookies de sesión Control de Acceso Web Services Fugas de información

30 CODIGO CON ALGUNOS ERRORES

31 Error: No cifrar datos sensibles

32 Error: No validar metacaracteres

33 Error: phpinfo.php

34 Error: Herramientas no ven todo

35 Error: Herramientas no ven todo

36 HERRAMIENTAS DEMO WebScarab

37 Excelente ejemplo de esfuerzo en Excelente ejemplo de esfuerzo en asegurar aplicaciones

38 Algunas conclusiones: Hay que usar metodologías de desarrollo seguro como OWASP en todas las etapas del ciclo de vida del software Se debe cifrar la información ió sensible El hacking ético usa herramientas para buscar vulnerabilidades pero no se debe excluir la comprobación por parte de un especialista (confirmación con penetración)

39 Algunas conclusiones: Hay que revisar todos las superficies de ataque de las aplicaciones Hay que usar autenticación biométrica para reforzar los actuales passwords débiles Ya existe el diccionario generado por fuerza bruta de 5 caracteres En el 2011 ya estará listo el diccionario de fuerza bruta para 6 caracteres 2013: Diccionario 8 caracteres 4 Petabytes

40 Bibliografía AGUILERA, V. Aportación de la OWASP a la comunidad d internacional. i The OWASP Foundation. Marzo 2008 FERNÁNDEZ, J. Presentación del proyecto OWASP. Conferencias FIST. Madrid. Diciembre 2005 OWASP Foundation. Guía de pruebas OWASP Versión 3, 2008

41 Bibliografía OWASP Foundation. OWASP Top The ten most critical Web applications security risks 2010 OWASP Foundation. Una guía para construir aplicaciones y servicios Web seguros. Julio de 2005 Paco Hope & Ben Walther, Web security Testing Cookbook, O reilly reilly, 2009

Documentos relacionados

OWAND 11 13 de septiembre de 2011 Cádiz (España) The OWASP Foundation http://www.owasp.org

: 10 años de aportaciones a la comunidad internacional. OWAND 11 13 de septiembre de 2011 Cádiz (España) Vicente Aguilera Díaz OWASP Spain Chapter Leader CISA, CISSP, CSSLP, PCI ASV, ITILF, CEH I, ECSP