Corporación Ornitorrinco Labs

Documentos relacionados
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Seguridad en Aplicaciones Web

In-seguridad y malware en dispositivos móviles

Principios Básicos de Seguridad en Bases de Datos

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

IoT - Internet of Things.

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

SEGURIDAD ataques riesgos tipos de amenazas

OWASP Top Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP: Un punto de vista. aplicaciones web seguras

About Me. Mario Robles Tencio

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía

Introducción a OWASP OWASP. The OWASP Foundation

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES.

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Soluciones BYOD para el aula. 24.Febrero.2016

Universidad Nacional de La Matanza Escuela Internacional de Informática

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Seminario de SEGURIDAD WEB. Pedro Villena Fernández

CrossFire: complementos de Firefox pueden ser explotados malicionamente

SSL. Web segura. Sesión 2 Unidad 5 Desarrollo de Software Libre I

Sistema Operativo, Búsqueda de la Información: Internet/Intranet y Correo Electrónico (UF0319)

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

INTRODUCCIon al ethical hacking. Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes.

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

Curso Online. Desarrollo Seguro en Java

UNIVERSIDAD CARLOS III DE MADRID

Capítulo V. Seguridad de un portal

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

(Actos no legislativos) REGLAMENTOS

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez

Facultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP

Rúbrica de Evaluación GUIA INTEGRADORA SEGURIDAD EN BASES DE DATOS

Programación de código seguro

El Enemigo Está Dentro Impacto de la Falta de Seguridad en el Negocio

Herramientas de OWASP para Tes3ng de Seguridad. Mateo Mar8nez Voluntario Capítulo OWASP Uruguay h"ps://

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

GUÍA DE SEGURIDAD PARA SISTEMAS DE INFORMACIÓN Basada en OWASP

Metodología Dharma de Dirección de Proyectos (MDDP) sobre MS Project. I. Introducción

Reporte de incidente de seguridad informática.

Técnicas y Procedimientos para la realización de Test de Intrusión

Gastón Toth Lic. en Computación CEH Pentester

=drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo=

Roberto Garcia Amoriz. Iniciándose en XSS. c_b_n_a. Leganés 6-7 Febrero 2014

PROCEDIMIENTO PARA LA GESTIÓN DE LOS RIESGOS

Perfiles y funciones de los Profesionales evaluadores

CÓMO CONFIGURAR EL NAVEGADOR WEB PARA USAR LEXNET

100% Laboratorios en Vivo

Programa de actualización profesional ACTI.NET Desarrollo de aplicaciones locales y web con tecnología VB.NET

ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP.

Testing de Seguridad de Aplicaciones Web

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

Ataques XSS en Aplicaciones Web

CodeSeeker Un Firewall de Nivel 7 OpenSource

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIOS DE LICENCIATURA

Inseguridad de los sistemas de autenticación en aplicaciones web

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

CONMUTACIÓN LAN Y REDES INALÁMBRICAS. Área de Formación Profesional

Servicios de Seguridad de la Información

Tecnología Safe Money

Secretaría Nacional de la Administración Pública Subsecretaría de Tecnologías de la Información

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO FACULTAD DE INFORMÁTICA Y ELECTRÓNICA ESCUELA DE INGENIERÍA EN SISTEMAS TESIS DE GRADO

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

UNIDAD 1: FUNDAMENTACIÓN DE LAS TIC ADMINISTRACIÓN DE OFFICE 365

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

T A B L A D E C O N T E N I D O

PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA MILA LEAL 2ASIR

Pliego de prescripciones técnicas del contrato DE UNA HERRAMIENTA DE LECTURA AUTOMÁTICA DE TEXTO PARA AYUDAR AL APRENDIZAJE DE PERSONAS CON DISLEXIA

El CCNA Security. en la Docencia de Ciclos Formativos. Joaquín J. Domínguez Torrecilla

Servicio de terminal remoto. Jesús Torres Cejudo

Aproximación a la Gestión del Riesgo de Desastres

Seguridad en Aplicaciones Web

Catalogo cursos de Seguridad Informática

Dirección General de Derechos Fundamentales y Seguridad y Salud en el Trabajo

lyondellbasell.com Seguridad Cibernética

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

Servicio de Protección Total Web

Foro de Negocios San Luis Potosí Servicios administrados y en la nube

Incorporando seguridad a las componentes de Interfaz de Usuario del Framework JSF (JAVA Server Faces) con soporte para clientes heterogéneos.

Manual de Usuarios SOFTWARE RAZUNA - DAM. Grupo de Innovación y Apropiación de Tecnologías de la Información Archivística CKAN

CARTA DESCRIPTIVA (FORMATO MODELO EDUCATIVO UACJ VISIÓN 2020)

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Visión 360º y análisis transversal del desempeño de cada unidad de negocio

Recomendaciones de Seguridad para Web sites implementados bajo Joomla!

A1-Inyección (SQL,OS Y LDPA)

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

==== Introducción. ==== Buscando un fallo

Formación de Auditores Internos para Organismos de Certificación de Personas

INFORMACION Y CONTROL DE PUBLICACIONES, S.A.

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Universidad Autónoma del Estado de México ADMINISTRACIÓN Y SEGURIDAD EN SISTEMAS OPERATIVOS SEGURIDAD SOBRE WINDOWS POR: J. JAIR VÁZQUEZ PALMA

Pliego de Prescripciones Técnicas que han de regir en el Contrato de Servicios

Gestión de riesgos: Abarca todas las actividades encaminadas a proporcionar un nivel de seguridad adecuado en las tecnologías de la información.

Transcripción:

Preparación para OWASP Top 10-2016 Sebastián Quevedo 0rnitorrinco labs Sebastian@0rnitorrinco.cl Corporación Ornitorrinco Labs Somos una organización sin ánimo de lucro dedicada a la investigación en Ciencia, Innovación y Tecnología Líneas de investigación: 1. CIBER RESILIENCIA 2. INNOVACIÓN 3. FÍSICA APLICADA www.0rnitorrinco.cl @0rnitorrincolab Seguridad de la Información/Ciber Seguridad Inteligencia de Seguridad Análisis de Malware Criptografía Seguridad en Medios de Pago Seguridad en Infraestructura Crítica Seguridad en la Nube Seguridad en IoT / Smart City 1

Agenda Por qué lo discutiremos si aún no se libera la versión 2016? Formas de utilizar esta información Uso de herramientas de OWASP y externas. Pros y Contras Cierre El top 10 de OWASP es un documento que muestra los 10 riesgos de seguridad mas importante en aplicaciones web según OWASP. Esta lista se actualiza cada 3 años y su última versión es la del 2013. Este documento es un marco referencial para distintas certificaciones como por ejemplo PCI DSS, SANS, DISA, FCT, entre otras. Habla sobre RIESGOS no VULNERABILIDADES. Se utiliza la metodología OWASP Risk Rating para clasificar y elaborar el top 10. 2

OWASP Top 10 Risk Rating Methodology Agentede Amenaza? Ejemplode Inyección 1 2 3 Vector de Ataque Prevalenciade la debilidad Qué tan detectablees la debilidad Impactotécnico Fácil Extensa Fácil Severo Promedio Común Promedio Moderada Difícil Pococomún Difícil Menor 1 2 2 1 1.66 * 1 Impactoal negocio 1.66 Peso de riesgo calculado? OWASP Top 10-2003 OWASP Top 10-2004 OWASP Top 10-2007 OWASP Top 10-2010 OWASP Top 10-2013 A1-Entrada no validada A2-Control de acceso interrumpido A3-Administración de cuentas y sesión interrumpida A4-Fallas de cross site scriptingxss A5-Desbordamiento de búfer A6-Fallas de inyección de comandos A7-Problemas de manejo de errores A8-Uso inseguro de criptografía A9-Fallas de administración remota(no aplicable) A10-Configuración indebida de servidor web y de aplicación A1-Entrada no validada A2-Control de acceso interrumpido A3-Administración de autenticación y sesión interrumpida A4-Fallas de cross site scriptingxss A5-Desbordamiento de búfer A6-Fallas de inyección A7-Manejo inadecuado de errores A8-Almacenamiento inseguro A9-Negación de servicio A10-Administración de configuración insegura cont. A1-Secuencia de comandos en sitios cruzados XSS A2-Fallas de inyección A3-Ejecución de ficheros malintencionados A4-Referencia insegura y directa a objetos A5-Falsificación de peticiones en sitios cruzados CSRF A6-Revelación de información y gestión incorrecta de errores A7-Pérdida de autenticación y gestión de sesiones A8-Almacenamiento criptográfico inseguro A9-Comunicaciones inseguras A10-Falla de restricción de acceso a URL A1-Inyección A2-Secuencia de comandos en sitios cruzados XSS A3-Pérdida de autenticación y gestión de sesiones A4-Referencia directa insegura a objetos A5-Falsificación de peticiones en sitios cruzados CSRF 6-Defectuosa configuración de seguridad A7-Almacenamiento criptográfico inseguro A8-Falla de restricción de acceso a URL A9-Protección insuficiente en la capa de transporte A10-Redirecciones y reenvíos no validados A1-Inyección A2-Pérdida de autenticación y gestión de sesiones A3-Secuencia de comandos en sitios cruzados XSS A4-Referencia directa insegura a objetos A5-Configuración de seguridad incorrecta A6-Exposición de datos sensibles A7-Ausencia de control de acceso a las funciones A8-Falsificación de peticiones en sitios cruzados CSRF A9-Uso de componentes con vulnerabilidades conocidas A10-Redirecciones y reenvíos no validados 3

A1 - Inyección: Engañar una aplicación para que incluya comandos malintencionados que serán enviados al interprete de base de datos. A2 Pérdida de Autentificación y gestión de sesiones: En HTTP las credenciales viajan con cada petición. Se debe usar TLS para cada autentificación. Existen muchas fallas correspondientes a este punto. A3 Cross-Site Scripting: Se envía información de un atacante a una víctima mediante el navegador de esta. Se puede almacenar, reflejar en el input web o ser enviada de forma directa al cliente de JS. A4 Referencia insegura a objetos: Hace referencia a obligar a utilizar autorización apropiada a elementos y objetos, junto con A7. A5 Configuración de seguridad Incorrecta: Puede afectar desde el SO hasta el servidor de aplicaciones. Sólo piense en todos los lugares que ha viajado su código fuente. A6 Exposición de datos sensibles: No se identifica la información sensible de manera apropiada, su ubicación, dónde se envía o fallan las medidas de protección asociadas a estos puntos. 4

A7 Ausencia de control de acceso a funciones: : Hace referencia a obligar a utilizar autorización apropiada a elementos y objetos, junto con A4. A8 CSRF: Se engaña a una víctima para que introduzca un comando sobre un sitio vulnerable. La vulnerabilidad es causada por un navegador que introduce automáticamente datos de autentificación. A9 Uso de componentes con vulnerabilidades conocidas: Permite explotación con herramientas automatizadas. A10 Redirecciones y envíos no válidos: Un atacante puede redirigir el tráfico de una víctima a voluntad. 5

Por qué lo discutiremos si aún no se libera la versión 2016? El campo de la seguridad evoluciona rápidamente, pero los riesgos del Top 10 no cambian sustancialmente año a año. Buscamos predecir que cambios podrían encontrarse en base a la experiencia en el área. OWASP Top 10 Proactive Controls. OWASP Top 10 Proactive Controls 6

OWASP Top 10 Proactive Controls Los controles proactivos de OWASP nos servirán, por tanto, para poder prepararnos frente al Top 10 presente y posteriores. Para qué podemos utilizar esta información? En primer lugar, cada diseño de seguridad de redes debe tomar esta lista en cuenta, y ser capaz de prevenir sus riesgos. Se usa como marco referencial para identificar los principales agentes de amenaza y vectores de ataque. Cada CIO u Oficial de Seguridad debería usar los top 10 de OWASP como referencia para su organización. Cada programador web debería verificar el top 10 de OWASP para prevenir las fallas explicitadas en el documento. 7

Herramientas de OWASP Pros y Contras Alternativade OWASP OWASP ZAP OWASP WebScarab OWASP Cal9000 OWASP Pantera OWASP Mantra OWASP SQLiX OWASP WSFuzzer OWASP LAPSE Alternativa del mercado Burp Suite Burp Suite Múltiples OWASP ZAP / Acunetix / Otros Múltiples addons en Firefox Sqlninja / SQLInjector Wfuzz Google CodeSearch Demonstrations Para no apelar a los dioses de las demos en vivos, veamos los siguientes recursos: 8

Gracias por su atención! 9

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback