Expositor: Pablo Alzuri
Resumen:
Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo?
En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10
1. Enfoque práctico para construir
aplicaciones sin vulnerabilidades
del OWASP Top 10
Pablo Alzuri
uy.linkedin.com/in/palzuri
https://twitter.com/palzuri
3. AGENDA
Algunos de los proyectos de OWASP
Ciclo de desarrollo seguro
Oportunidades de utilizar GeneXus
Conclusiones
4. Inyección SQL
select
*
from
usuario
where
nombre
=
'NOMBRE‘
NOMBRE
=
Pablo';
truncate
table
usuario;
-‐-‐
select
*
from
usuario
where
nombre
=
'Pablo';
truncate
table
usuario;
-‐-‐‘
15. Requerimientos funcionales de seguridad
• Polícas
de
privacidad
de
datos
(empresariales)
• Regulaciones
de
la
industria
(Tarjetas
de
crédito)
• Regulaciones
Gubernamentales
(Habeas
Data)
• Relevamiento
de
Polícas
de
Seguridad
sobre
autencación
y
autorización
16. Análisis anti-requerimientos
Casos
de
Abuso:
[McDermo?
J,
Fox
C,
(1999)
”Using
Abuse
Case
Models
for
Security
Requirements
Analysis”]
Casos
de
Mal
Uso:
[Sindre
G,
Opdahl
AL,
(2000)
“Elicing
security
requirements
by
misuse
cases”
]
24. Testing
• Tesng
funcionalidades
de
seguridad
• Manual
• Automazada
• Tesng
de
seguridad
basada
en
riesgos
• Pruebas
diseñadas
en
función
de
los
casos
de
abuso,
mal
uso
y
análisis
de
riesgos.
26. Implantación
• Hardening
servidores.
• Gesón
de
Vulnerabilidades
de
sotware
base.
• Test
de
penetración
o
“hackeo
éco”
Objevo
validar
el
sotware
desarrollado
en
el
ambiente
de
ejecución
en
el
cual
será
puesto
en
producción.
27. Gestión
• Registrar
vulnerabilidades
detectadas
en
cada
etapa
• Planificación
de
capacitación
• Planificación
de
tareas
de
seguridad
en
el
ciclo
de
desarrollo
• Reservar
empos
en
el
proyecto
para
las
acvidades
de
seguridad.