Expositor: Mateo Martinez
Resumen
OWASP es un proyecto abierto que es referencia global de seguridad en el desarrollo de aplicaciones. Existen diversas herramientas y documentación respaldada por la comunidad para la realización de pruebas de seguridad en aplicaciones. Durante la charla se presentarán los proyectos "Flagship" de OWASP y una serie de herramientas fundamentales para el Testing de Seguridad en Software.
10. Sobre OWASP UY
• Web: https://www.owasp.org/index.php/Uruguay
• Twitter: @owasp_uy
• Reuniones: último viernes de cada mes en FING
• 4 eventos gratuitos OWASP Day anuales
• Conferencia gratuita OWASP Latam Tour
• Entrenamientos OWASP Latam Tour
• Conferencia regional OWASP APPSEC RIO DE LA PLATA
(diciembre)
11. Fechas importantes de OWASP UY
2010 – 1° OWASP DAY URUGUAY (Universidad ORT Uruguay)
2012 – OWASP APPSEC LATAM 2012 (ANTEL)
2015 – OWASP APPSEC RIO DE LA PLATA 2015 (ANTEL)
2016 – OWASP APPSEC RIO DE LA PLATA 2016 (ANTEL)
12. Sobre el OWASP LATAM TOUR
• Conferencias Gratuitas de Seguridad
• 16 países recorridos durante el mes de abril
• Realizado en Uruguay desde el 2011
• https://www.owasp.org/index.php/LatamTour2017
• @appseclatam
• #OWASPLatamTour2017
33. OWASP ZAP & Jenkins
import time
from pprint import pprint
from zapv2 import ZAPv2
# Here the target is defined and an instance of
ZAP is created.
target = 'http://www.target.site/'
zap = ZAPv2()
34. OWASP ZAP & Jenkins
# ZAP starts accessing the target.
print 'Accessing target %s' % target
zap.urlopen(target)
time.sleep(2)
# The spider starts crawling the website for
URL’s
print 'Spidering target %s' % target
zap.spider.scan(target)
41. OWASP ZAP, Selenium, & Jenkins
En Jenkins, agregar los tags
correspondientes a los regression tests a
probar en ZAP. Una vez finalizados los test
funcionales, lanzar groovy script a las urls
detectadas por ZAP.
42. Soy nuevo en esto, ¿por dónde puedo empezar?
APPSEC Tutorials son
videos para iniciarse
OWASP TOP 10, la guía
clásica
OWASP Cheat Sheets
https://www.owasp.org/index.php/OWASP_Project_Inventory
43. Quiero entender y analizar vulnerabilidades
Security Shepherd, juego CTF para aprender
WebGoat, sitio vulnerable Java y .Net con lecciones para
programadores
OWASP Bricks, un sitio web PHP vulnerable con lecciones
44. Quiero utilizar herramientas de pentesting y hacer pruebas
OWASP ZAP, es un proxy de ataque, “creme de la creme”
tool para hackear tu propio sitio
OWTF, un framework completo de pentesting alineado a
los últimos estándares de seguridad
Xenotix Exploit, para experimentar con XSS
45. Quiero entender y analizar vulnerabilidades
OWASP ASVS es “La Lista” para aplicar al proceso de
desarrollo. Son controles técnicos de seguridad.
Secure Coding Practices Quick Reference Guide es una
checklist para integrar en el SDLC con prácticas y
requerimientos de seguridad
46. Quiero Asegurar mi sitio web
APPSENSOR es un detector de intrusos en su sitio
OWASP HTML Sanitizer permite incorporar código HTML
de terceros pero manteniendo la protección contra XSS.
CRSFGuard, protege su sitio contra ataques de CRSF.
47. ¿Cómo puedo verificar si tengo librerías vulnerables?
Dependency-Check es una herramienta que identifica
dependencias y valida si ha vulnerabilidades conocidas
Dependencias en Java, .Net y Python se encuentran
soportadas.
48. ¿Existe alguna guía para programadores?
OWASP Developer Guide es el proyecto original de OWASP,
publicado por primera vez en 2002.
49. ¿Cómo puedo verificar si tengo librerías vulnerables?CODE REVIEW GUIDELINES indican como validar y revisar
el código fuente en búsqueda de vulnerabilidades
O2 PLATFORM permite un análisis estático robusto junto
con ser una herramienta poderosa para prototipos y
desarrollo ágil en .Net
Me gustaría poder analizar código fuente con más detalle
50. Otros proyectos de OWASP
• OWASP Application Security Guide For CISOs Project
• OWASP Cornucopia
• OWASP Proactive Controls
• OWASP Broken Web Applications Project