Expositor: Pablo Alzuri Resumen: Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo? En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.

1. Enfoque práctico para construir
aplicaciones sin vulnerabilidades
del OWASP Top 10
Pablo Alzuri
uy.linkedin.com/in/palzuri
https://twitter.com/palzuri

2. FAIL

3. AGENDA
Algunos de los proyectos de OWASP
Ciclo de desarrollo seguro
Oportunidades de utilizar GeneXus
Conclusiones

4. Inyección SQL
select
*
from
usuario
where
nombre
=
'NOMBRE‘
NOMBRE
=
Pablo';
truncate
table
usuario;
-­‐-­‐
select
*
from
usuario
where
nombre
=
'Pablo';
truncate
table
usuario;
-­‐-­‐‘

5. Generación de SQLs en GeneXus

6. h?p://allplaidout.com/2013/07/the-­‐lone-­‐ranger/
¿Tengo la bala de plata?

7. h?p://allplaidout.com/2013/07/the-­‐lone-­‐ranger/
No existe la bala de plata

8. Calidad del software
Disponibilidad
Interoperabilidad
Mantenibilidad
Performance
Escalabilidad
Seguridad
Usabilidad
Reusabilidad
Confiabilidad

9. h?p://owasptop10.googlecode.com/files/OWASP_Top-­‐10_2013%20-­‐%20Changes-­‐from-­‐2010.pptx

10. h?ps://www.owasp.org/images/thumb/a/a7/OWTGv4_Cover.png/455px-­‐OWTGv4_Cover.png

11. h?ps://www.owasp.org/index.php/Category:OWASP_Applicaon_Security_Verificaon_Standard_Project#tab=Home

12. h?ps://www.owasp.org/images/5/59/Code_Review_Eoin.pptx

13. Ciclo de desarrollo seguro

14. Ciclo de desarrollo seguro

15. Requerimientos funcionales de seguridad
• Polícas
de
privacidad
de
datos
(empresariales)
• Regulaciones
de
la
industria
(Tarjetas
de
crédito)
• Regulaciones
Gubernamentales
(Habeas
Data)
• Relevamiento
de
Polícas
de
Seguridad
sobre
autencación
y
autorización

16. Análisis anti-requerimientos
Casos
de
Abuso:
[McDermo?
J,
Fox
C,
(1999)
”Using
Abuse
Case
Models
for
Security
Requirements
Analysis”]
Casos
de
Mal
Uso:
[Sindre
G,
Opdahl
AL,
(2000)
“Elicing
security
requirements
by
misuse
cases”
]

17. Ciclo de desarrollo seguro

18. Aproximadamente
el
50%
de
los
problemas
de
seguridad
son
causados
debido
a
fallas
de
diseño.

19. Análisis de Riesgo
h?ps://www.owasp.org/index.php/OWASP_Risk_Rang_Methodology

20. Análisis de Riesgo
h?ps://www.owasp.org/index.php/OWASP_Risk_Rang_Methodology

21. Ciclo de desarrollo seguro

22. Implementación
• Pautas
de
desarrollo
(OWASP
Top
Ten)
• Revisiones
de
código
por
pares
• Revisión
de
código
automazada
(Security
Scanner)

23. Ciclo de desarrollo seguro

24. Testing
• Tesng
funcionalidades
de
seguridad
• Manual
• Automazada
• Tesng
de
seguridad
basada
en
riesgos
• Pruebas
diseñadas
en
función
de
los
casos
de
abuso,
mal
uso
y
análisis
de
riesgos.

25. Ciclo de desarrollo seguro

26. Implantación
• Hardening
servidores.
• Gesón
de
Vulnerabilidades
de
sotware
base.
• Test
de
penetración
o
“hackeo
éco”
Objevo
validar
el
sotware
desarrollado
en
el
ambiente
de
ejecución
en
el
cual
será
puesto
en
producción.

27. Gestión
• Registrar
vulnerabilidades
detectadas
en
cada
etapa
• Planificación
de
capacitación
• Planificación
de
tareas
de
seguridad
en
el
ciclo
de
desarrollo
• Reservar
empos
en
el
proyecto
para
las
acvidades
de
seguridad.

28. CONCLUSIONES

29. ¿Preguntas?

30. Pablo Alzuri
¡Muchas Gracias!
uy.linkedin.com/in/palzuri
https://twitter.com/palzuri