SlideShare una empresa de Scribd logo

Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP

A
Alvaro Machaca Tola

Invitado por la Comunidad de Software Libre Bolivia para dar la charla titulada "Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP".

Tecnología
1 de 14
Descargar para leer sin conexión
XIV Congreso Nacional de Software Libre CONASOL 2014 Cochabamba – Bolivia 22 de Noviembre del 2014 ANÁLISIS DE SEGURIDAD EN APLICACIONES WEB CON HERRAMIENTAS LIBRES (OWASP ZAP) Expositor: Alvaro Machaca Tola CCNA, CEH
Agenda 1. El papel de las aplicaciones web en la actualidad. 2. Estándares y buenas prácticas. 3. Principales problemas. 4. Principales vulnerabilidades. 5. Alternativas de solución. 6. OWASP ZAP. 6.1. Características. 6.2. Implementación. 7. Demostración. 8. Evaluación de la herramienta. 9. Conclusión. XIV Congreso Nacional de Software Libre CONASOL 2014
¿En qué nos colaboran las aplicaciones web?  Redes sociales.  Pago de servicios por internet.  Páginas web personales.  Entretenimiento.  Intercambio de conocimiento.  Venta de productos/servicios.  Difusión política.  Educación. … 1. El papel de las aplicaciones web en la actualidad XIV Congreso Nacional de Software Libre CONASOL 2014
¿Por qué debo desarrollar aplicaciones seguras?  Minimizar el impacto de un posible ataque.  Asegurar la información con la que interactúa la aplicación.  Cumplimiento de estándares internacionales y normativas nacionales.  Desarrollar hábitos de desarrollo seguro.  Ganar la confianza del usuario y mantener la imagen de la institución. … 2. Estándares y buenas prácticas XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué dificultades se presentan en el desarrollo de aplicaciones?  Falta de información y concientización.  Agendas de desarrollo apretadas.  Falta de conocimiento en el desarrollo de aplicaciones seguras.  Simplicidad excesiva.  Falta o falla de gestión de cambios en las aplicaciones. … 3. Principales problemas XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué es OWASP?  Es una comunidad abierta a todo púbico y sin fines de lucro.  Compuesta por investigadores, estudiantes y toda persona interesada en la seguridad de aplicaciones web.  Desarrollan guías y buenas prácticas para el desarrollo seguro de aplicaciones.  Existen herramientas libres desarrolladas por la comunidad y proyectos relacionados a la seguridad de las aplicaciones. … https://www.owasp.org 4. Principales vulnerabilidades XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué soluciones existen?  Concientizar y capacitar en temas de desarrollo seguro.  Utilizar recursos actualizados y módulos de seguridad.  Revisar manualmente el código y detectar debilidades de seguridad (usuarios avanzados).  Revisar la aplicación de forma automática (escáner de vulnerabilidades para aplicaciones web libres y comerciales). 5. Alternativas de solución XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué es OWASP ZAP?  Es una herramienta libre de código abierto, creada por Simon Bennetts (es un proyecto de OWASP).  Colabora con la revisión del estado de seguridad de una aplicación.  Basada en las vulnerabilidades más comunes en aplicaciones web (Top 10 de OWASP).  Muy útil para profesionales en seguridad y desarrolladores. … https://code.google.com/p/zaproxy/ 6. OWASP ZAP XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué puedo hacer con ZAP?  Proxy.  Escaneo automático.  Escaneo pasivo.  Escaneo por fuerza bruta.  Spider.  Fuzzing  Certificados dinámicos SSL.  BeanShell Console dialog.  Plug-n-Hack.  Smartcard y certificados digitales. … https://code.google.com/p/zaproxy/ 6.1 Características XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué necesito?  Java SE Runtime Environment (versión ˃ 7.0 http://www.oracle.com/technetwork/java/javase/downloads/index. html  Navegador web (Mozilla Firefox versión ˃ 23.0) https://www.mozilla.org  ZAP 2.3.1 (Descargar del sitio oficial) https://code.google.com/p/zaproxy/wiki/Downloads 6.2 Implementación XIV Congreso Nacional de Software Libre CONASOL 2014
Recursos  Ambiente ZAP configurado y funcional.  Aplicación para el análisis (Web Goat 5.4). https://www.owasp.org/index.php/Category:OWASP_WebGoat_Proj ect  Paciencia, buen humor y mucho café. 7. Demostración XIV Congreso Nacional de Software Libre CONASOL 2014
http://sectooladdict.blogspot.com/2014/02/wavsep-web-application-scanner.html ¿Qué evaluaron?  Versatilidad del escáner.  Cobertura del crawling automático.  Precisión en la detección de redirecciones inválidas.  Precisión en la detección de archivos ocultos.  Precisión en la detección de Inyección SQL.  Precisión en la detección de XSS.  Variedad de vectores de ataque.  Características y funcionalidades.  Facilidad de uso. … 8. Evaluación de la herramienta Estudio realizado por el especialista en seguridad de la información y penetration testing Shay Chen patrocinado por DENIM GROUP compañía Estadounidense especializada en seguridad en aplicaciones. XIV Congreso Nacional de Software Libre CONASOL 2014
 ZAP es una herramienta libre.  Apto para usuarios iniciales y expertos.  Es el proyecto de OWASP con mayores aportes en los últimos años.  Fue elegida como la mejor herramienta libre de seguridad para aplicaciones web el 2013. (http://www.toolswatch.org)  Buena forma de iniciar en el mundo de la seguridad en aplicaciones web. 9. Conclusiones XIV Congreso Nacional de Software Libre CONASOL 2014
Contacto XIV Congreso Nacional de Software Libre CONASOL 2014 https://www.facebook.com/alvaro.machaca @Alvaro_Machaca https://bo.linkedin.com/pub/alvaro-machaca/42/85b/7 alvaromania.mt@gmail.com alvaro.machaca@hotmail.com

Recomendados

Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Los antivirus
Los antivirusLos antivirus
Los antivirusFranchy Bonilla
 
Softwarelibrequipo
SoftwarelibrequipoSoftwarelibrequipo
SoftwarelibrequipoKarenaguimi
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 

Recomendados

Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Los antivirus
Los antivirusLos antivirus
Los antivirusFranchy Bonilla
 
Softwarelibrequipo
SoftwarelibrequipoSoftwarelibrequipo
SoftwarelibrequipoKarenaguimi
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 
Contabilidad
ContabilidadContabilidad
ContabilidadMaestros Online
 
MasoudMohammadi
MasoudMohammadiMasoudMohammadi
MasoudMohammadiMasoud Mohammadi
 
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....SOSTelemedicina UCV
 
Netiqueta
NetiquetaNetiqueta
NetiquetaAdrivoigt
 
Presentacion call
Presentacion callPresentacion call
Presentacion callharol molina
 
Aborto.
Aborto.Aborto.
Aborto.amordegiz
 
Mpls
MplsMpls
Mplsrahulvce07
 
Maduración pulmonar fetal. Dr. Freddy González Arias
Maduración pulmonar fetal. Dr. Freddy González AriasMaduración pulmonar fetal. Dr. Freddy González Arias
Maduración pulmonar fetal. Dr. Freddy González AriasSOSTelemedicina UCV
 
farmacos Antianginosos
farmacos Antianginososfarmacos Antianginosos
farmacos AntianginososCesar gaytan
 
Guia
GuiaGuia
GuiaIsmael Rosa
 
PQDT 71713 a 73180[1]
PQDT 71713 a 73180[1]PQDT 71713 a 73180[1]
PQDT 71713 a 73180[1]SERGIO DE MELLO QUEIROZ
 
Fogueiras e Comida
Fogueiras e ComidaFogueiras e Comida
Fogueiras e ComidaFeras Feras
 
paraquedistas de 30235 a 46498[1]
paraquedistas de 30235 a 46498[1]paraquedistas de 30235 a 46498[1]
paraquedistas de 30235 a 46498[1]PDCA CONSULTORES ASSOCIADOS
 
Semiología del aparato digestivo
Semiología del aparato digestivoSemiología del aparato digestivo
Semiología del aparato digestivoAllan Tapia Castro
 
Ruptura prematura de membranas
Ruptura prematura de membranasRuptura prematura de membranas
Ruptura prematura de membranasjoel cordova
 
Hiperemesis gravidica
Hiperemesis gravidicaHiperemesis gravidica
Hiperemesis gravidicaBrigitte Gonzalez
 
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...Antônio Fernandes
 
Glucosa; Salud y medicina
Glucosa; Salud y medicinaGlucosa; Salud y medicina
Glucosa; Salud y medicinaVania Ruby
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúJohn Vargas
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 

Más contenido relacionado

Destacado

Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....SOSTelemedicina UCV
 
Maduración pulmonar fetal. Dr. Freddy González Arias
Maduración pulmonar fetal. Dr. Freddy González AriasMaduración pulmonar fetal. Dr. Freddy González Arias
Maduración pulmonar fetal. Dr. Freddy González AriasSOSTelemedicina UCV
 
farmacos Antianginosos
farmacos Antianginososfarmacos Antianginosos
farmacos AntianginososCesar gaytan
 
Fogueiras e Comida
Fogueiras e ComidaFogueiras e Comida
Fogueiras e ComidaFeras Feras
 
Semiología del aparato digestivo
Semiología del aparato digestivoSemiología del aparato digestivo
Semiología del aparato digestivoAllan Tapia Castro
 
Ruptura prematura de membranas
Ruptura prematura de membranasRuptura prematura de membranas
Ruptura prematura de membranasjoel cordova
 
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...Antônio Fernandes
 
Glucosa; Salud y medicina
Glucosa; Salud y medicinaGlucosa; Salud y medicina
Glucosa; Salud y medicinaVania Ruby
 

Destacado (19)

Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de Riesgos
 
Contabilidad
ContabilidadContabilidad
Contabilidad
 
MasoudMohammadi
MasoudMohammadiMasoudMohammadi
MasoudMohammadi
 
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....
Enfermedad invasiva por Streptococcus Tipo B Embarazo y neonato. Dr. Julio S....
 
Netiqueta
NetiquetaNetiqueta
Netiqueta
 
Presentacion call
Presentacion callPresentacion call
Presentacion call
 
Aborto.
Aborto.Aborto.
Aborto.
 
Mpls
MplsMpls
Mpls
 
Maduración pulmonar fetal. Dr. Freddy González Arias
Maduración pulmonar fetal. Dr. Freddy González AriasMaduración pulmonar fetal. Dr. Freddy González Arias
Maduración pulmonar fetal. Dr. Freddy González Arias
 
farmacos Antianginosos
farmacos Antianginososfarmacos Antianginosos
farmacos Antianginosos
 
Guia
GuiaGuia
Guia
 
PQDT 71713 a 73180[1]
PQDT 71713 a 73180[1]PQDT 71713 a 73180[1]
PQDT 71713 a 73180[1]
 
Fogueiras e Comida
Fogueiras e ComidaFogueiras e Comida
Fogueiras e Comida
 
paraquedistas de 30235 a 46498[1]
paraquedistas de 30235 a 46498[1]paraquedistas de 30235 a 46498[1]
paraquedistas de 30235 a 46498[1]
 
Semiología del aparato digestivo
Semiología del aparato digestivoSemiología del aparato digestivo
Semiología del aparato digestivo
 
Ruptura prematura de membranas
Ruptura prematura de membranasRuptura prematura de membranas
Ruptura prematura de membranas
 
Hiperemesis gravidica
Hiperemesis gravidicaHiperemesis gravidica
Hiperemesis gravidica
 
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...
PROJETO LÍDERES DE TURMAS, AJUDANDO A GERENCIAR A ESCOLA. IDEALIZADOR: DIRETO...
 
Glucosa; Salud y medicina
Glucosa; Salud y medicinaGlucosa; Salud y medicina
Glucosa; Salud y medicina
 

Similar a Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP

Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúJohn Vargas
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Botero milena ensayo
Botero milena ensayoBotero milena ensayo
Botero milena ensayomilebote
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_rosodamaniaca
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roJavierNehemias
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roladysolano18
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_royohannakmo
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roBrithanyLara
 
Guia del estudiante informatica i enfermeria 1_
Guia del estudiante informatica i enfermeria 1_Guia del estudiante informatica i enfermeria 1_
Guia del estudiante informatica i enfermeria 1_sodamaniaca
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGONZALOERAS
 

Similar a Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP (20)

Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Osum
OsumOsum
Osum
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Web móvil. Desarrollo de Apps y Aplicación en Bibliotecas
Web móvil. Desarrollo de Apps y Aplicación en BibliotecasWeb móvil. Desarrollo de Apps y Aplicación en Bibliotecas
Web móvil. Desarrollo de Apps y Aplicación en Bibliotecas
 
Botero milena ensayo
Botero milena ensayoBotero milena ensayo
Botero milena ensayo
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
java.pptx
java.pptxjava.pptx
java.pptx
 
java.pptx
java.pptxjava.pptx
java.pptx
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_ro
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_ro
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_ro
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_ro
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_ro
 
Guia del estudiante informatica i enfermeria 1_
Guia del estudiante informatica i enfermeria 1_Guia del estudiante informatica i enfermeria 1_
Guia del estudiante informatica i enfermeria 1_
 
Guia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_roGuia del estudiante informatica i enfermeria 1_ro
Guia del estudiante informatica i enfermeria 1_ro
 

Último

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 

Último (20)

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 

Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP

  • 1. XIV Congreso Nacional de Software Libre CONASOL 2014 Cochabamba – Bolivia 22 de Noviembre del 2014 ANÁLISIS DE SEGURIDAD EN APLICACIONES WEB CON HERRAMIENTAS LIBRES (OWASP ZAP) Expositor: Alvaro Machaca Tola CCNA, CEH
  • 2. Agenda 1. El papel de las aplicaciones web en la actualidad. 2. Estándares y buenas prácticas. 3. Principales problemas. 4. Principales vulnerabilidades. 5. Alternativas de solución. 6. OWASP ZAP. 6.1. Características. 6.2. Implementación. 7. Demostración. 8. Evaluación de la herramienta. 9. Conclusión. XIV Congreso Nacional de Software Libre CONASOL 2014
  • 3. ¿En qué nos colaboran las aplicaciones web?  Redes sociales.  Pago de servicios por internet.  Páginas web personales.  Entretenimiento.  Intercambio de conocimiento.  Venta de productos/servicios.  Difusión política.  Educación. … 1. El papel de las aplicaciones web en la actualidad XIV Congreso Nacional de Software Libre CONASOL 2014
  • 4. ¿Por qué debo desarrollar aplicaciones seguras?  Minimizar el impacto de un posible ataque.  Asegurar la información con la que interactúa la aplicación.  Cumplimiento de estándares internacionales y normativas nacionales.  Desarrollar hábitos de desarrollo seguro.  Ganar la confianza del usuario y mantener la imagen de la institución. … 2. Estándares y buenas prácticas XIV Congreso Nacional de Software Libre CONASOL 2014
  • 5. ¿Qué dificultades se presentan en el desarrollo de aplicaciones?  Falta de información y concientización.  Agendas de desarrollo apretadas.  Falta de conocimiento en el desarrollo de aplicaciones seguras.  Simplicidad excesiva.  Falta o falla de gestión de cambios en las aplicaciones. … 3. Principales problemas XIV Congreso Nacional de Software Libre CONASOL 2014
  • 6. ¿Qué es OWASP?  Es una comunidad abierta a todo púbico y sin fines de lucro.  Compuesta por investigadores, estudiantes y toda persona interesada en la seguridad de aplicaciones web.  Desarrollan guías y buenas prácticas para el desarrollo seguro de aplicaciones.  Existen herramientas libres desarrolladas por la comunidad y proyectos relacionados a la seguridad de las aplicaciones. … https://www.owasp.org 4. Principales vulnerabilidades XIV Congreso Nacional de Software Libre CONASOL 2014
  • 7. ¿Qué soluciones existen?  Concientizar y capacitar en temas de desarrollo seguro.  Utilizar recursos actualizados y módulos de seguridad.  Revisar manualmente el código y detectar debilidades de seguridad (usuarios avanzados).  Revisar la aplicación de forma automática (escáner de vulnerabilidades para aplicaciones web libres y comerciales). 5. Alternativas de solución XIV Congreso Nacional de Software Libre CONASOL 2014
  • 8. ¿Qué es OWASP ZAP?  Es una herramienta libre de código abierto, creada por Simon Bennetts (es un proyecto de OWASP).  Colabora con la revisión del estado de seguridad de una aplicación.  Basada en las vulnerabilidades más comunes en aplicaciones web (Top 10 de OWASP).  Muy útil para profesionales en seguridad y desarrolladores. … https://code.google.com/p/zaproxy/ 6. OWASP ZAP XIV Congreso Nacional de Software Libre CONASOL 2014
  • 9. ¿Qué puedo hacer con ZAP?  Proxy.  Escaneo automático.  Escaneo pasivo.  Escaneo por fuerza bruta.  Spider.  Fuzzing  Certificados dinámicos SSL.  BeanShell Console dialog.  Plug-n-Hack.  Smartcard y certificados digitales. … https://code.google.com/p/zaproxy/ 6.1 Características XIV Congreso Nacional de Software Libre CONASOL 2014
  • 10. ¿Qué necesito?  Java SE Runtime Environment (versión ˃ 7.0 http://www.oracle.com/technetwork/java/javase/downloads/index. html  Navegador web (Mozilla Firefox versión ˃ 23.0) https://www.mozilla.org  ZAP 2.3.1 (Descargar del sitio oficial) https://code.google.com/p/zaproxy/wiki/Downloads 6.2 Implementación XIV Congreso Nacional de Software Libre CONASOL 2014
  • 11. Recursos  Ambiente ZAP configurado y funcional.  Aplicación para el análisis (Web Goat 5.4). https://www.owasp.org/index.php/Category:OWASP_WebGoat_Proj ect  Paciencia, buen humor y mucho café. 7. Demostración XIV Congreso Nacional de Software Libre CONASOL 2014
  • 12. http://sectooladdict.blogspot.com/2014/02/wavsep-web-application-scanner.html ¿Qué evaluaron?  Versatilidad del escáner.  Cobertura del crawling automático.  Precisión en la detección de redirecciones inválidas.  Precisión en la detección de archivos ocultos.  Precisión en la detección de Inyección SQL.  Precisión en la detección de XSS.  Variedad de vectores de ataque.  Características y funcionalidades.  Facilidad de uso. … 8. Evaluación de la herramienta Estudio realizado por el especialista en seguridad de la información y penetration testing Shay Chen patrocinado por DENIM GROUP compañía Estadounidense especializada en seguridad en aplicaciones. XIV Congreso Nacional de Software Libre CONASOL 2014
  • 13.  ZAP es una herramienta libre.  Apto para usuarios iniciales y expertos.  Es el proyecto de OWASP con mayores aportes en los últimos años.  Fue elegida como la mejor herramienta libre de seguridad para aplicaciones web el 2013. (http://www.toolswatch.org)  Buena forma de iniciar en el mundo de la seguridad en aplicaciones web. 9. Conclusiones XIV Congreso Nacional de Software Libre CONASOL 2014
  • 14. Contacto XIV Congreso Nacional de Software Libre CONASOL 2014 https://www.facebook.com/alvaro.machaca @Alvaro_Machaca https://bo.linkedin.com/pub/alvaro-machaca/42/85b/7 alvaromania.mt@gmail.com alvaro.machaca@hotmail.com