Este documento presenta una introducción al Open Web Application Security Project (OWASP) y sus herramientas para la seguridad de aplicaciones web. Explica el OWASP Testing Guide, que proporciona una metodología para realizar pruebas de seguridad en diferentes etapas del ciclo de vida del desarrollo web. También describe varias herramientas OWASP como ZAP, Nikto y SQLMap que automatizan la detección de vulnerabilidades comunes como inyecciones SQL y cross-site scripting.
How to use Redis with MuleSoft. A quick start presentation.
Betabeers Sevilla - Hacking web con OWASP
1. Hacking web con OWASP
Ezequiel V´zquez De la calle
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
2. Sobre mi
Estudios
Ingeniero T´cnico en Inform´tica - UCA
e
a
M´ster en Ingenier´ del Software - US
a
ıa
Experto en Seguridad de las TIC - US
Experiencia
3+ a˜os como desarrollador web
n
Actualmente: DevOps Drupal
Python, C++, GNU/Linux, network programming. . .
Aficiones
Rock’n’Roll (guitarrista) y videojuegos
Narrativa fant´stica, rol, cine. . .
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
5. Seguridad
¿Y esto de qu´ va?
e
Seguridad web
Exposici´n a internet
o
Vulnerabilidades
Explotaci´n
o
¿Hackers?
...
Dinero
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
6. OWASP
Open Web Application Security Project
Fundaci´n sin ´nimo de lucro
o
a
Multitud de proyectos: algo ca´tico
o
Colaboraci´n a nivel mundial, grupos locales
o
Metodolog´ de an´lisis de seguridad web
ıa
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
7. OWASP
M´s de 36000 colaboradores
a
Conferencias por todo el mundo, durante todo el a˜o
n
En Espa˜a: Asociaci´n de profesionales
n
o
Libros, merchandising, etc.
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
9. Proyectos de OWASP
142 proyectos, a lo largo del mundo
OWASP Code Review
OWASP DNIe
OWASP Google Hacking
OWASP SQLiBench
OWASP Testing guide [!]
OWASP Top Ten
OWASP WebScarab
OWASP WebSlayer
OWASP Zed Attack Proxy
...
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
11. OWASP Testing Guide
Consideraciones previas
Enfoque de caja negra,
pero incluye pruebas de
todo tipo
Divide las pruebas en fases
asociadas al ciclo de vida
¡No s´lo pentesting!
o
Disponible como libro,
PDF y wiki
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
12. OWASP Testing Guide
Etapas
1
Antes del desarrollo
Revisar pol´
ıticas, est´ndares, etc.
a
Definir m´tricas y criterios de evaluaci´n
e
o
2
Durante la definici´n y el dise˜o
o
n
Revisar requisitos de seguridad
Revisar dise˜o y arquitectura
n
Crear y revisar modelos de amenazas
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
13. OWASP Testing Guide
Etapas
3
Durante el desarrollo
Revisar el c´digo junto con los desarrolladores
o
4
Durante el despliegue
Realizar test de penetraci´n [!]
o
Analizar la gesti´n de la configuraci´n
o
o
5
Durante el mantenimiento
Revisar la gesti´n de operaciones
o
Pruebas peri´dicas del estado de salud
o
Asegurar la verificaci´n de cambios
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
15. Pentesting con OWASP
Adquisici´n de informaci´n
o
o
An´lisis de fuentes p´blicas sobre el sitio web
a
u
An´lisis de la ayuda del propio sitio
a
Uso de spiders, robots y crawlers (puntos de entrada)
An´lisis de metadatos de los ficheros descargables (FOCA)
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
16. Pentesting con OWASP
Google (Bing y Shodan) Hacking
Utilizaci´n de operadores avanzados del buscador.
o
site: Limitar la b´squeda a un unico dominio
u
´
cache: Buscar en la cach´ de Google
e
inurl: Resultados que contienen un valor en la URL
ext:, filetype: Buscar ficheros con la extensi´n indicada
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
17. Pentesting con OWASP
Revisi´n de la configuraci´n
o
o
Uso de SSL (Man In The Middle y SSLStrip a un cliente)
Conexi´n a BBDD (Conexiones remotas)
o
Sistema operativo del servidor
Configuraci´n del servidor web (Versi´n vulnerable)
o
o
M´todos HTTP permitidos por el servidor (PUT, DELETE)
e
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
18. Pentesting con OWASP
An´lisis de autenticaci´n
a
o
Enumeraci´n de usuarios (M´dulo Views de Drupal)
o
o
Ataque de fuerza bruta o diccionario
Bypass del sistema de autenticaci´n (SQLi)
o
Contrase˜as suprayectivas
n
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
19. Pentesting con OWASP
An´lisis de la gesti´n de la sesi´n
a
o
o
Exposici´n de variables de sesi´n
o
o
Cookies no cifradas (modificaci´n de atributos)
o
Cross Site Request Forgery
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
20. Pentesting con OWASP
An´lisis de autorizaci´n y l´gica de negocio
a
o
o
Acceso a ficheros
Escalado de privilegios
Fallos en la l´gica de la aplicaci´n
o
o
An´lisis de mensajes de error
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
21. Pentesting con OWASP
Validaci´n de datos de entrada y salida
o
Cross Site Scripting (XSS)
Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.)
Buffer overflow
Fuzzing (entrada aleatoria, y/o excesivamente grande)
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
22. Pentesting con OWASP
Denegaci´n de servicio
o
No liberaci´n de recursos
o
Almacenamiento de demasiada informaci´n en la sesi´n
o
o
Bloqueo de usuarios
Entrada de usuario en un bucle
Gesti´n de peticiones repetitivas (LOIC)
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
23. ¿Y c´mo protejo mi web?
o
Buenas pr´cticas
a
Auditor´ de seguridad
ıas
peri´dicas
o
Integrar la seguridad en el
desarrollo desde el inicio
Asumir que siempre
habr´ fallos de seguridad
a
Si alguien va a por
ti. . . (APT)
Encontrar el equilibrio
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
25. OWASP Top Ten
Lista de vulnerabilidades
m´s comunes
a
Publicada cada tres a˜os
n
Cuarta versi´n en 2013
o
”Meter el miedo en el
cuerpo”
´
Util como referencia r´pida
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
26. OWASP ZAP
Proxy que intercepta peticiones y respuestas
Permite modificar el contenido de ambas
Detecta posibles superficies de ataque
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
27. Nikto2
Esc´ner de vulnerabilidades
a
web
C´digo abierto (GPL)
o
Comprueba versiones
desactualizadas, m´todos
e
HTTP, etc.
No est´ dise˜ado como
a
n
herramienta stealth
http://www.cirt.net/nikto2
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
28. SQLMap
Automatiza la detecci´n y
o
explotaci´n de vulnerabilidades
o
SQLinjection
C´digo abierto (GPL)
o
Soporta muchos motores
(MySQL, Oracle, PostgreSQL,
MS SQL Server... ¡hasta Access!)
http://sqlmap.org/
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
29. OWASP Xenotix
Framework de detecci´n y explotaci´n de XSS
o
o
Analiza IE, Chrome y Firefox
Herramienta muy potente
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
31. Conclusiones
Realizar testing durante todo el ciclo de vida
¡El pentesting no es un juego! Permiso por escrito
¡Importante! Documentaci´n con resultados obtenidos
o
Un buen an´lisis debe intentar cubrir el m´ximo de la
a
a
superficie de ataque
Ahorro o p´rdida de dinero, reputaci´n, etc.
e
o
La importancia de la formaci´n
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
34. Referencias
OWASP official webpage
https://www.owasp.org
Browser security handbook
https://code.google.com/p/browsersec/wiki/Main
Blog Flu Project
http://www.flu-project.com
Blog Seguridad para Todos
http://www.seguridadparatodos.com
Una al d´
ıa
http://unaaldia.hispasec.com
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
35. Esto es todo, amigos...
¡Gracias!
¿Preguntas?
@RabbitLair
ezequielvazq[at]gmail[dot]com
Ezequiel V´zquez De la calle
a
Hacking web con OWASP