SlideShare una empresa de Scribd logo

Betabeers Sevilla - Hacking web con OWASP

Z
zekivazquez

Este documento presenta una introducción al Open Web Application Security Project (OWASP) y sus herramientas para la seguridad de aplicaciones web. Explica el OWASP Testing Guide, que proporciona una metodología para realizar pruebas de seguridad en diferentes etapas del ciclo de vida del desarrollo web. También describe varias herramientas OWASP como ZAP, Nikto y SQLMap que automatizan la detección de vulnerabilidades comunes como inyecciones SQL y cross-site scripting.

Tecnología
1 de 35
Descargar para leer sin conexión
Hacking web con OWASP Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Hacking web con OWASP
Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Open Web Application Security Project Fundaci´n sin ´nimo de lucro o a Multitud de proyectos: algo ca´tico o Colaboraci´n a nivel mundial, grupos locales o Metodolog´ de an´lisis de seguridad web ıa a Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP M´s de 36000 colaboradores a Conferencias por todo el mundo, durante todo el a˜o n En Espa˜a: Asociaci´n de profesionales n o Libros, merchandising, etc. Ezequiel V´zquez De la calle a Hacking web con OWASP
Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´zquez De la calle a Hacking web con OWASP
Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy ... Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´lo pentesting! o Disponible como libro, PDF y wiki Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ ıticas, est´ndares, etc. a Definir m´tricas y criterios de evaluaci´n e o 2 Durante la definici´n y el dise˜o o n Revisar requisitos de seguridad Revisar dise˜o y arquitectura n Crear y revisar modelos de amenazas Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´digo junto con los desarrolladores o 4 Durante el despliegue Realizar test de penetraci´n [!] o Analizar la gesti´n de la configuraci´n o o 5 Durante el mantenimiento Revisar la gesti´n de operaciones o Pruebas peri´dicas del estado de salud o Asegurar la verificaci´n de cambios o Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Adquisici´n de informaci´n o o An´lisis de fuentes p´blicas sobre el sitio web a u An´lisis de la ayuda del propio sitio a Uso de spiders, robots y crawlers (puntos de entrada) An´lisis de metadatos de los ficheros descargables (FOCA) a Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´n de operadores avanzados del buscador. o site: Limitar la b´squeda a un unico dominio u ´ cache: Buscar en la cach´ de Google e inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´n indicada o Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Revisi´n de la configuraci´n o o Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´n a BBDD (Conexiones remotas) o Sistema operativo del servidor Configuraci´n del servidor web (Versi´n vulnerable) o o M´todos HTTP permitidos por el servidor (PUT, DELETE) e Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP An´lisis de autenticaci´n a o Enumeraci´n de usuarios (M´dulo Views de Drupal) o o Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´n (SQLi) o Contrase˜as suprayectivas n Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP An´lisis de la gesti´n de la sesi´n a o o Exposici´n de variables de sesi´n o o Cookies no cifradas (modificaci´n de atributos) o Cross Site Request Forgery Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP An´lisis de autorizaci´n y l´gica de negocio a o o Acceso a ficheros Escalado de privilegios Fallos en la l´gica de la aplicaci´n o o An´lisis de mensajes de error a Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Validaci´n de datos de entrada y salida o Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Denegaci´n de servicio o No liberaci´n de recursos o Almacenamiento de demasiada informaci´n en la sesi´n o o Bloqueo de usuarios Entrada de usuario en un bucle Gesti´n de peticiones repetitivas (LOIC) o Ezequiel V´zquez De la calle a Hacking web con OWASP
¿Y c´mo protejo mi web? o Buenas pr´cticas a Auditor´ de seguridad ıas peri´dicas o Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´ fallos de seguridad a Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Top Ten Lista de vulnerabilidades m´s comunes a Publicada cada tres a˜os n Cuarta versi´n en 2013 o ”Meter el miedo en el cuerpo” ´ Util como referencia r´pida a Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´zquez De la calle a Hacking web con OWASP
Nikto2 Esc´ner de vulnerabilidades a web C´digo abierto (GPL) o Comprueba versiones desactualizadas, m´todos e HTTP, etc. No est´ dise˜ado como a n herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´zquez De la calle a Hacking web con OWASP
SQLMap Automatiza la detecci´n y o explotaci´n de vulnerabilidades o SQLinjection C´digo abierto (GPL) o Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Xenotix Framework de detecci´n y explotaci´n de XSS o o Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´n con resultados obtenidos o Un buen an´lisis debe intentar cubrir el m´ximo de la a a superficie de ataque Ahorro o p´rdida de dinero, reputaci´n, etc. e o La importancia de la formaci´n o Ezequiel V´zquez De la calle a Hacking web con OWASP
Conclusiones Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Blog Flu Project http://www.flu-project.com Blog Seguridad para Todos http://www.seguridadparatodos.com Una al d´ ıa http://unaaldia.hispasec.com Ezequiel V´zquez De la calle a Hacking web con OWASP
Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Hacking web con OWASP

Recomendados

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free securityAntonio Toriz
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 

Recomendados

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free securityAntonio Toriz
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are backWebsec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de OwaspULSELSALVADOR
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Ada 6
Ada 6Ada 6
Ada 6Miguel Marqueda
 
Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 

Más contenido relacionado

La actualidad más candente

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are backWebsec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 

La actualidad más candente (18)

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Web
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de Owasp
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
 
Ada 6
Ada 6Ada 6
Ada 6
 

Similar a Betabeers Sevilla - Hacking web con OWASP

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupalzekivazquez
 

Similar a Betabeers Sevilla - Hacking web con OWASP (20)

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVAS
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupal
 

Más de zekivazquez

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilitieszekivazquez
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadeszekivazquez
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMSzekivazquez
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beingszekivazquez
 
Information is Power
Information is PowerInformation is Power
Information is Powerzekivazquez
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harleyzekivazquez
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todoszekivazquez
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scalingzekivazquez
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scalingzekivazquez
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCAzekivazquez
 

Más de zekivazquez (10)

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMS
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
 
Information is Power
Information is PowerInformation is Power
Information is Power
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
 

Último

Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 

Último (11)

Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Betabeers Sevilla - Hacking web con OWASP

  • 1. Hacking web con OWASP Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 2. Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 5. Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 6. OWASP Open Web Application Security Project Fundaci´n sin ´nimo de lucro o a Multitud de proyectos: algo ca´tico o Colaboraci´n a nivel mundial, grupos locales o Metodolog´ de an´lisis de seguridad web ıa a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 7. OWASP M´s de 36000 colaboradores a Conferencias por todo el mundo, durante todo el a˜o n En Espa˜a: Asociaci´n de profesionales n o Libros, merchandising, etc. Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 8. Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 9. Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy ... Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 11. OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´lo pentesting! o Disponible como libro, PDF y wiki Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 12. OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ ıticas, est´ndares, etc. a Definir m´tricas y criterios de evaluaci´n e o 2 Durante la definici´n y el dise˜o o n Revisar requisitos de seguridad Revisar dise˜o y arquitectura n Crear y revisar modelos de amenazas Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 13. OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´digo junto con los desarrolladores o 4 Durante el despliegue Realizar test de penetraci´n [!] o Analizar la gesti´n de la configuraci´n o o 5 Durante el mantenimiento Revisar la gesti´n de operaciones o Pruebas peri´dicas del estado de salud o Asegurar la verificaci´n de cambios o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 14. OWASP Testing Guide Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 15. Pentesting con OWASP Adquisici´n de informaci´n o o An´lisis de fuentes p´blicas sobre el sitio web a u An´lisis de la ayuda del propio sitio a Uso de spiders, robots y crawlers (puntos de entrada) An´lisis de metadatos de los ficheros descargables (FOCA) a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 16. Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´n de operadores avanzados del buscador. o site: Limitar la b´squeda a un unico dominio u ´ cache: Buscar en la cach´ de Google e inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´n indicada o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 17. Pentesting con OWASP Revisi´n de la configuraci´n o o Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´n a BBDD (Conexiones remotas) o Sistema operativo del servidor Configuraci´n del servidor web (Versi´n vulnerable) o o M´todos HTTP permitidos por el servidor (PUT, DELETE) e Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 18. Pentesting con OWASP An´lisis de autenticaci´n a o Enumeraci´n de usuarios (M´dulo Views de Drupal) o o Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´n (SQLi) o Contrase˜as suprayectivas n Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 19. Pentesting con OWASP An´lisis de la gesti´n de la sesi´n a o o Exposici´n de variables de sesi´n o o Cookies no cifradas (modificaci´n de atributos) o Cross Site Request Forgery Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 20. Pentesting con OWASP An´lisis de autorizaci´n y l´gica de negocio a o o Acceso a ficheros Escalado de privilegios Fallos en la l´gica de la aplicaci´n o o An´lisis de mensajes de error a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 21. Pentesting con OWASP Validaci´n de datos de entrada y salida o Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 22. Pentesting con OWASP Denegaci´n de servicio o No liberaci´n de recursos o Almacenamiento de demasiada informaci´n en la sesi´n o o Bloqueo de usuarios Entrada de usuario en un bucle Gesti´n de peticiones repetitivas (LOIC) o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 23. ¿Y c´mo protejo mi web? o Buenas pr´cticas a Auditor´ de seguridad ıas peri´dicas o Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´ fallos de seguridad a Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 25. OWASP Top Ten Lista de vulnerabilidades m´s comunes a Publicada cada tres a˜os n Cuarta versi´n en 2013 o ”Meter el miedo en el cuerpo” ´ Util como referencia r´pida a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 26. OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 27. Nikto2 Esc´ner de vulnerabilidades a web C´digo abierto (GPL) o Comprueba versiones desactualizadas, m´todos e HTTP, etc. No est´ dise˜ado como a n herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 28. SQLMap Automatiza la detecci´n y o explotaci´n de vulnerabilidades o SQLinjection C´digo abierto (GPL) o Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 29. OWASP Xenotix Framework de detecci´n y explotaci´n de XSS o o Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 31. Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´n con resultados obtenidos o Un buen an´lisis debe intentar cubrir el m´ximo de la a a superficie de ataque Ahorro o p´rdida de dinero, reputaci´n, etc. e o La importancia de la formaci´n o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 32. Conclusiones Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 34. Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Blog Flu Project http://www.flu-project.com Blog Seguridad para Todos http://www.seguridadparatodos.com Una al d´ ıa http://unaaldia.hispasec.com Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 35. Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Hacking web con OWASP