SlideShare una empresa de Scribd logo

Argentesting 2019 - Analizando la seguridad en aplicaciones móviles

Argentesting
Argentesting

Analizando la seguridad en aplicaciones móviles por Enrique Dutra Sobre la charla: Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles. Sobre Enrique: Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad. Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint. Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad. Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN. Consultado como Perito Informático en juicios laborales. Migración de plataformas a Cloud. Miembro de Criptored, INETA, Internet Security e ISACA. Disertante en eventos de Microsoft & IBM. Premiado como MVP Windows Security año 2006, 2007 y 2008. Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014. Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019. Certificó como Auditor Lider ISO/IEC 27001 by BSI. MCT dell 1999 al 2013. Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft. Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005. Consultor certificado en Security IBM, MCafee y Checkpoint. Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet. Experto en análisis e implementación de mitigaciones para malware Ransomware. Experiencia en manejo de casos de grooming y sexting. Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM

Tecnología
1 de 42
Testeando seguridad en aplicaciones móviles Enrique G. Dutra [10-2019]
Punto Net Soluciones SRL © 2016 Enrique Gustavo Dutra  Socio Gerente de Punto Net Soluciones SRL  MVP desde 2006, actualmente MVP Cloud and Datacenter Management 2019-2020  32 años de experiencia en Seguridad de la Información/ Informática.  Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL.  Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.  Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103.  Instructor en CPCIPC de la ESAPI.  Disertante en eventos en LATAM (ARG-UY-BRA)
Punto Net Soluciones SRL © 2016 Setear expectativas
Punto Net Soluciones SRL © 2016 Agenda  Problemática actual  Metodología de evaluación de software  OWASP  Metodología.  Análisis estático vs dinámico.  Herramientas y soluciones.  Infraestructura al rescate.
Punto Net Soluciones SRL © 2016 Situación actual Exposición de los servicios y datos a Internet.
Punto Net Soluciones SRL © 2016 ¿Qué ocurre hoy en Internet?
Punto Net Soluciones SRL © 2016 Plataformas inseguras https://raidforums.com/
Punto Net Soluciones SRL © 2016 Problemáticas… ✓ Framework desarrollo instalado en producción. ✓ Ausencia de ambientes desarrollo / testing. ✓ Ausencia de validaciones en formularios Web. ✓ Fallas en validación/auntenticación. ✓ Software con ”hardcode”. ✓ Ausencia de conexión cifradas. ✓ Configuración Web permite SQL Injection. ✓ Usuarios de prueba en producción. ✓ Base de datos sin protección o semilla. ✓ Datos sensibles en base de datos : ✓ Ley 25326 Rep. Arg., ✓ HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓ PCI-DSS, ✓ Otros.
Punto Net Soluciones SRL © 2016 Ejemplos…
Punto Net Soluciones SRL © 2016 Aplicaciones Infectadas https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million- downloads-google-play-store/
Punto Net Soluciones SRL © 2016 Introducción a OWASP Open Web Application Security Project
Punto Net Soluciones SRL © 2016 OWASP ✓Promueve el desarrollo de software seguro ✓Orientada a la prestación de servicios orientados a la Web. ✓Se centra principalmente en el "back-end" mas que en cuestiones de diseño web. ✓Un foro abierto para el debate. ✓Un recurso gratuito para cualquier equipo de desarrollo de software. https://www.owasp.org
Punto Net Soluciones SRL © 2016 OWASP Top 10 ✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP. ✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
Punto Net Soluciones SRL © 2016 OWASP ✓ Materiales de Educación ◦ OWASP Top 10 ◦ Guía de Desarrollo OWASP ◦ Guía de Testing OWASP ◦ Guía OWASP para aplicaciones Web Seguras ✓ Software ◦ WebGoat ◦ WebScarab ◦ ESAPI ◦ ZAP ✓ Capítulos Locales ◦ Comunidades interesadas en Seguridad de Aplicaciones
Punto Net Soluciones SRL © 2016 Maduración desde el 2004
Punto Net Soluciones SRL © 2016 Injection - Concepto ✓Corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes. ✓Considere a cualquiera que pueda enviar información no confiable al sistema, incluyendo usuarios externos, usuarios internos y administradores. ✓Ej: http://example.com/app/accountView?id= ' or '1'='1
Punto Net Soluciones SRL © 2016 Injection Ejemplo: (demo) 1) Acceder sitio http://demo.testfire.net/ 2) Ingresar usuario admin o jsmith 3) Password ' or '1'='1 4) Ingresar usuario ' or '1'='1 5) Password ' or '1'='1
Punto Net Soluciones SRL © 2016 Pérdida de Autenticación y Gestión de Sesiones - Concepto ✓Considere atacantes anónimos externos, así como a usuarios con sus propias cuentas, que podrían intentar robar cuentas de otros. ✓Considere también a trabajadores que quieran enmascarar sus acciones.
Punto Net Soluciones SRL © 2016 Exposición Datos Sensibles – Concepto ✓Debido a fallos en la implementación de distintas APIs, o sitios Web, muchas veces no se protege correctamente la información sensible, lo que permite a piratas informáticos hacerse, por ejemplo, con datos personales, bancarios o de salud de los usuarios.
Punto Net Soluciones SRL © 2016 Entidades Externas XML – Concepto ✓Procesadores XML mal configurados pueden procesar ciertas referencias como si no se tratasen de entradas XML, lo que puede permitir revelar ficheros y recursos ocultos, e incluso ejecutar código o causar un ataque DoS.
Punto Net Soluciones SRL © 2016 Pérdida de control de acceso – Concepto ✓Errores en la configuración de los sistemas de control de acceso, pueden permitir a un atacante acceder a recursos y archivos para los que no debería tener permiso. ✓El impacto técnico incluye atacantes anónimos actuando como usuarios o administradores; usuarios que utilizan funciones privilegiadas o crean,acceden, actualizan o eliminant cualquier registro.
Punto Net Soluciones SRL © 2016 Configuración de Seguridad Incorrecta - Concepto ✓ Aquí se engloba todo tipo de fallos relacionados con la configuración de todo tipo de sistemas de seguridad, desde las conexiones HTTPS hasta las aplicaciones de seguridad de cualquier sistema o servidor. ✓ Los atacantes a menudo intentarán explotar vulnerabilidades sin parchear o acceder a cuentas por defecto, páginas no utilizadas, archivos y directorios desprotegidos, etc.
Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) - Concepto ✓Considere cualquier persona que pueda enviar datos no confiables al sistema, incluyendo usuarios externos, internos y administradores. ✓Explotar vulnerabilidades habitualmente en entornos web mediante la inyección de código. El término inyección de código, hace referencia al intentar hacer ejecutar un código ajeno dentro de otro programa.
Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) Ejemplo: (demo) 1) Ingrese a demo.testfire.net 2) En Search escriba : <h1><marquee> Bienvenidos a ARGENTESTING </marquee></h1> 3) Presione el botón GO. 4) Copie el link de la URL en https://bitly.com/ 5) Debe obtener el link https://bit.ly/2nGwsNq 6) Enviar por correo.
Punto Net Soluciones SRL © 2016 Deserialización insegura – Concepto ✓ La serialización es el proceso de convertir algún objeto en un formato de datos que se puede restaurar más adelante. ✓ Las personas suelen serializar objetos para guardarlos en el almacenamiento o para enviarlos como parte de las comunicaciones. La deserialización es lo contrario de ese proceso: tomar datos estructurados a partir de algún formato y reconstruirlo en un objeto. Hoy en día, el formato de datos más popular para serializar datos es JSON. Antes de eso, era XML.
Punto Net Soluciones SRL © 2016 Uso de Componentes con Vulnerabilidades Conocidas – Concepto ✓ Como su nombre indica, en esta categoría se recogen todos los usos de librerías, frameworks y otros recursos de software que tienen vulnerabilidades, por lo que al utilizarlos en una plataforma o un proyecto, automáticamente se vuelven vulnerable, quedando en peligro a través de estos recursos.
Punto Net Soluciones SRL © 2016 Registro y Monitoreo insuficiente - Concepto ✓Debido a la falta de monitorización, la mayoría de las veces se tarda hasta 200 días en detectar una vulnerabilidad en un software o una plataforma web, tiempo que se podría reducir notablemente tan solo configurando mayores controles, mejorando la monitorización y con más registros a estas plataformas.
Punto Net Soluciones SRL © 2016 Más Vulnerable Publicando servicios con aplicaciones móviles
Punto Net Soluciones SRL © 2016 Desarrollo inseguro  75% de las apps móviles no pasaría pruebas básicas de seguridad.  Controles de seguridad quedan excluidos del proceso de diseño.  En entornos de desarrollo se deben validar las aplicaciones.  Del 100% testeado, 99.98% tenían problemas de seguridad.
Punto Net Soluciones SRL © 2016 Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Area Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía AMBITO DE APLICACION
Punto Net Soluciones SRL © 2016 Análisis estático
Punto Net Soluciones SRL © 2016 Análisis dinámico
Punto Net Soluciones SRL © 2016 ¿Cómo testear?  No hay presupuesto no es una excusa.  OWASP provee metodología de evaluación. VER PLANILLA.  Uso de herramientas Open-Source: ◦ MobSF ◦ Qark ◦ Mara ◦ Drozer
Punto Net Soluciones SRL © 2016 MobSF - DEMO  MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX). ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad
Punto Net Soluciones SRL © 2016 Mara Framework - DEMO  Es un marco de análisis e ingeniería inversa de aplicaciones móviles.  Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.
Punto Net Soluciones SRL © 2016 Mara Framework - DEMO  Ejecutar el comando . ◦ /mara.sh -s <aplicacionapk>.apk  Resultados en ◦ /MARA_Framework/data/APK.APK/Analysis
Punto Net Soluciones SRL © 2016 QARK - DEMO  Quick Android Review Kit  Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.  QARK educa a los desarrolladores. Ejecutar el comando qark --apk <aplicacionapk>.apk
Punto Net Soluciones SRL © 2016 Links útiles  https://github.com/ashishb/android- security-awesome  https://www.owasp.org
Punto Net Soluciones SRL © 2016 Código Fuente no puede modificarse Resolver con Infraestructura
Punto Net Soluciones SRL © 2016 WAF (Web App. Firewall) ✓ SQL injection ✓ Cross site scripting ✓ Common attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack ✓ HTTP protocol violations ✓ HTTP protocol anomalies ✓ Bots, crawlers, and scanners ✓ Common application misconfigurations (e.g. Apache, IIS, etc.) ✓ HTTP Denial of Service Azure Web Application Firewall (WAF) OWASP ModSecurity Core Rule Set (CRS) OWASP core rule sets
Punto Net Soluciones SRL © 2016 WAF
¡Muchas Gracias! Enrique G. Dutra [ info@argentesting.com | www.argentesting.com ] Blog https://seguridadit.blogspot.com/ Linkedin /in/enriquedutra/ Twitter.com /egdutra Mail edutra@puntonetsoluciones.com.ar [ info@puntonetsoluciones.com.ar | www.puntonetsoluciones.com.ar ]

Recomendados

Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 

Recomendados

Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012v3l3r0f0nt3
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
DDS
DDSDDS
DDSBertha Vega
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsLuis Fernando
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 

Más contenido relacionado

La actualidad más candente

Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsLuis Fernando
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Jose Manuel Ortega Candel
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 

La actualidad más candente (20)

OWASP
OWASPOWASP
OWASP
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén Vergara
 
DDS
DDSDDS
DDS
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para Android
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-oliva
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo Godoy
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web apps
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de software
 

Similar a Argentesting 2019 - Analizando la seguridad en aplicaciones móviles

Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españoldavimoryz
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptxssuser3937f41
 
Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]
Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]
Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]nodotic
 
CTRL - Seguridad & Infraestructura
CTRL - Seguridad & InfraestructuraCTRL - Seguridad & Infraestructura
CTRL - Seguridad & InfraestructuraHoracio Arroyo
 
Guia power data_transicion_cloud
Guia power data_transicion_cloudGuia power data_transicion_cloud
Guia power data_transicion_cloudEfrain Diaz
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos AdquisiciónDavid Narváez
 
Primeros pasos con WPO: aprende a analizar tu web - Taller
Primeros pasos con WPO: aprende a analizar tu web - TallerPrimeros pasos con WPO: aprende a analizar tu web - Taller
Primeros pasos con WPO: aprende a analizar tu web - TallerFernando Puente
 
Microsoft Cloud summit - Evento Técnico
Microsoft Cloud summit - Evento TécnicoMicrosoft Cloud summit - Evento Técnico
Microsoft Cloud summit - Evento TécnicoGermán Ruiz
 
Airwatch - Workspaceone
Airwatch - WorkspaceoneAirwatch - Workspaceone
Airwatch - WorkspaceoneDiego Piron
 

Similar a Argentesting 2019 - Analizando la seguridad en aplicaciones móviles (20)

Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Proyecto2
Proyecto2Proyecto2
Proyecto2
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
 
Seguridad en Cloud Computing
Seguridad en Cloud ComputingSeguridad en Cloud Computing
Seguridad en Cloud Computing
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
 
Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]
Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]
Puntos Clave Seleccion Aplicaciones SaaS - NODOTIC [ES]
 
CTRL - Seguridad & Infraestructura
CTRL - Seguridad & InfraestructuraCTRL - Seguridad & Infraestructura
CTRL - Seguridad & Infraestructura
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoria
 
Guia power data_transicion_cloud
Guia power data_transicion_cloudGuia power data_transicion_cloud
Guia power data_transicion_cloud
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Piensan
Piensan Piensan
Piensan
 
3.1. Datos Adquisición
3.1. Datos Adquisición3.1. Datos Adquisición
3.1. Datos Adquisición
 
Primeros pasos con WPO: aprende a analizar tu web - Taller
Primeros pasos con WPO: aprende a analizar tu web - TallerPrimeros pasos con WPO: aprende a analizar tu web - Taller
Primeros pasos con WPO: aprende a analizar tu web - Taller
 
Microsoft Cloud summit - Evento Técnico
Microsoft Cloud summit - Evento TécnicoMicrosoft Cloud summit - Evento Técnico
Microsoft Cloud summit - Evento Técnico
 
Softwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redesSoftwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redes
 
Airwatch - Workspaceone
Airwatch - WorkspaceoneAirwatch - Workspaceone
Airwatch - Workspaceone
 

Más de Argentesting

Argentesting 2019 - Cambiando el paradigma de la automatización
Argentesting 2019 - Cambiando el paradigma de la automatizaciónArgentesting 2019 - Cambiando el paradigma de la automatización
Argentesting 2019 - Cambiando el paradigma de la automatizaciónArgentesting
 
Argentesting 2019 - Cómo convertirse en un tester ágil
Argentesting 2019 - Cómo convertirse en un tester ágilArgentesting 2019 - Cómo convertirse en un tester ágil
Argentesting 2019 - Cómo convertirse en un tester ágilArgentesting
 
Argentesting 2019 - Desentrañando selenium
Argentesting 2019 - Desentrañando seleniumArgentesting 2019 - Desentrañando selenium
Argentesting 2019 - Desentrañando seleniumArgentesting
 
Argentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOpsArgentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOpsArgentesting
 
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting
 
Argentesting 2019 - Por que-python-esta-buenisimo
Argentesting 2019 - Por que-python-esta-buenisimoArgentesting 2019 - Por que-python-esta-buenisimo
Argentesting 2019 - Por que-python-esta-buenisimoArgentesting
 
Argentesting 2019 - Cypress una completa experiencia de testing end to end
Argentesting 2019 - Cypress una completa experiencia de testing end to endArgentesting 2019 - Cypress una completa experiencia de testing end to end
Argentesting 2019 - Cypress una completa experiencia de testing end to endArgentesting
 
Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...
Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...
Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...Argentesting
 
Argentesting 2019 - Testing exploratorio basado en sesiones
Argentesting 2019 - Testing exploratorio basado en sesionesArgentesting 2019 - Testing exploratorio basado en sesiones
Argentesting 2019 - Testing exploratorio basado en sesionesArgentesting
 
Argentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitoso
Argentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitosoArgentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitoso
Argentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitosoArgentesting
 
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting
 
Argentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOpsArgentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOpsArgentesting
 
Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...
Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...
Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...Argentesting
 
Argentesting 2019 - Accesibilidad, donde las especialidades convergen
Argentesting 2019 - Accesibilidad, donde las especialidades convergenArgentesting 2019 - Accesibilidad, donde las especialidades convergen
Argentesting 2019 - Accesibilidad, donde las especialidades convergenArgentesting
 
Argentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientes
Argentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientesArgentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientes
Argentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientesArgentesting
 
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testing
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testingArgentesting 2019 - Cómo la 4ta revolución industrial afectará al testing
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testingArgentesting
 
Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...
Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...
Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...Argentesting
 
Argentesting 2019 - Lippia, un framework multipropósito
Argentesting 2019 - Lippia, un framework multipropósitoArgentesting 2019 - Lippia, un framework multipropósito
Argentesting 2019 - Lippia, un framework multipropósitoArgentesting
 
Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...
Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...
Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...Argentesting
 
Argentesting 2019 - Lightning Talks
Argentesting 2019 - Lightning TalksArgentesting 2019 - Lightning Talks
Argentesting 2019 - Lightning TalksArgentesting
 

Más de Argentesting (20)

Argentesting 2019 - Cambiando el paradigma de la automatización
Argentesting 2019 - Cambiando el paradigma de la automatizaciónArgentesting 2019 - Cambiando el paradigma de la automatización
Argentesting 2019 - Cambiando el paradigma de la automatización
 
Argentesting 2019 - Cómo convertirse en un tester ágil
Argentesting 2019 - Cómo convertirse en un tester ágilArgentesting 2019 - Cómo convertirse en un tester ágil
Argentesting 2019 - Cómo convertirse en un tester ágil
 
Argentesting 2019 - Desentrañando selenium
Argentesting 2019 - Desentrañando seleniumArgentesting 2019 - Desentrañando selenium
Argentesting 2019 - Desentrañando selenium
 
Argentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOpsArgentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOps
 
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
 
Argentesting 2019 - Por que-python-esta-buenisimo
Argentesting 2019 - Por que-python-esta-buenisimoArgentesting 2019 - Por que-python-esta-buenisimo
Argentesting 2019 - Por que-python-esta-buenisimo
 
Argentesting 2019 - Cypress una completa experiencia de testing end to end
Argentesting 2019 - Cypress una completa experiencia de testing end to endArgentesting 2019 - Cypress una completa experiencia de testing end to end
Argentesting 2019 - Cypress una completa experiencia de testing end to end
 
Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...
Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...
Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...
 
Argentesting 2019 - Testing exploratorio basado en sesiones
Argentesting 2019 - Testing exploratorio basado en sesionesArgentesting 2019 - Testing exploratorio basado en sesiones
Argentesting 2019 - Testing exploratorio basado en sesiones
 
Argentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitoso
Argentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitosoArgentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitoso
Argentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitoso
 
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...
 
Argentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOpsArgentesting 2019 - Introducción al testing en DevOps
Argentesting 2019 - Introducción al testing en DevOps
 
Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...
Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...
Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...
 
Argentesting 2019 - Accesibilidad, donde las especialidades convergen
Argentesting 2019 - Accesibilidad, donde las especialidades convergenArgentesting 2019 - Accesibilidad, donde las especialidades convergen
Argentesting 2019 - Accesibilidad, donde las especialidades convergen
 
Argentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientes
Argentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientesArgentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientes
Argentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientes
 
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testing
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testingArgentesting 2019 - Cómo la 4ta revolución industrial afectará al testing
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testing
 
Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...
Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...
Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...
 
Argentesting 2019 - Lippia, un framework multipropósito
Argentesting 2019 - Lippia, un framework multipropósitoArgentesting 2019 - Lippia, un framework multipropósito
Argentesting 2019 - Lippia, un framework multipropósito
 
Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...
Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...
Argentesting 2019 - Machine learning en testing priorizacion de casos de pr...
 
Argentesting 2019 - Lightning Talks
Argentesting 2019 - Lightning TalksArgentesting 2019 - Lightning Talks
Argentesting 2019 - Lightning Talks
 

Último

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Último (13)

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 

Argentesting 2019 - Analizando la seguridad en aplicaciones móviles

  • 1. Testeando seguridad en aplicaciones móviles Enrique G. Dutra [10-2019]
  • 2. Punto Net Soluciones SRL © 2016 Enrique Gustavo Dutra  Socio Gerente de Punto Net Soluciones SRL  MVP desde 2006, actualmente MVP Cloud and Datacenter Management 2019-2020  32 años de experiencia en Seguridad de la Información/ Informática.  Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL.  Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.  Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103.  Instructor en CPCIPC de la ESAPI.  Disertante en eventos en LATAM (ARG-UY-BRA)
  • 3. Punto Net Soluciones SRL © 2016 Setear expectativas
  • 4. Punto Net Soluciones SRL © 2016 Agenda  Problemática actual  Metodología de evaluación de software  OWASP  Metodología.  Análisis estático vs dinámico.  Herramientas y soluciones.  Infraestructura al rescate.
  • 5. Punto Net Soluciones SRL © 2016 Situación actual Exposición de los servicios y datos a Internet.
  • 6. Punto Net Soluciones SRL © 2016 ¿Qué ocurre hoy en Internet?
  • 7. Punto Net Soluciones SRL © 2016 Plataformas inseguras https://raidforums.com/
  • 8. Punto Net Soluciones SRL © 2016 Problemáticas… ✓ Framework desarrollo instalado en producción. ✓ Ausencia de ambientes desarrollo / testing. ✓ Ausencia de validaciones en formularios Web. ✓ Fallas en validación/auntenticación. ✓ Software con ”hardcode”. ✓ Ausencia de conexión cifradas. ✓ Configuración Web permite SQL Injection. ✓ Usuarios de prueba en producción. ✓ Base de datos sin protección o semilla. ✓ Datos sensibles en base de datos : ✓ Ley 25326 Rep. Arg., ✓ HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓ PCI-DSS, ✓ Otros.
  • 9. Punto Net Soluciones SRL © 2016 Ejemplos…
  • 10. Punto Net Soluciones SRL © 2016 Aplicaciones Infectadas https://blogs.quickheal.com/quick-heal-reports-29-malicious-apps-10-million- downloads-google-play-store/
  • 11. Punto Net Soluciones SRL © 2016 Introducción a OWASP Open Web Application Security Project
  • 12. Punto Net Soluciones SRL © 2016 OWASP ✓Promueve el desarrollo de software seguro ✓Orientada a la prestación de servicios orientados a la Web. ✓Se centra principalmente en el "back-end" mas que en cuestiones de diseño web. ✓Un foro abierto para el debate. ✓Un recurso gratuito para cualquier equipo de desarrollo de software. https://www.owasp.org
  • 13. Punto Net Soluciones SRL © 2016 OWASP Top 10 ✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP. ✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
  • 14. Punto Net Soluciones SRL © 2016 OWASP ✓ Materiales de Educación ◦ OWASP Top 10 ◦ Guía de Desarrollo OWASP ◦ Guía de Testing OWASP ◦ Guía OWASP para aplicaciones Web Seguras ✓ Software ◦ WebGoat ◦ WebScarab ◦ ESAPI ◦ ZAP ✓ Capítulos Locales ◦ Comunidades interesadas en Seguridad de Aplicaciones
  • 15. Punto Net Soluciones SRL © 2016 Maduración desde el 2004
  • 16. Punto Net Soluciones SRL © 2016 Injection - Concepto ✓Corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes. ✓Considere a cualquiera que pueda enviar información no confiable al sistema, incluyendo usuarios externos, usuarios internos y administradores. ✓Ej: http://example.com/app/accountView?id= ' or '1'='1
  • 17. Punto Net Soluciones SRL © 2016 Injection Ejemplo: (demo) 1) Acceder sitio http://demo.testfire.net/ 2) Ingresar usuario admin o jsmith 3) Password ' or '1'='1 4) Ingresar usuario ' or '1'='1 5) Password ' or '1'='1
  • 18. Punto Net Soluciones SRL © 2016 Pérdida de Autenticación y Gestión de Sesiones - Concepto ✓Considere atacantes anónimos externos, así como a usuarios con sus propias cuentas, que podrían intentar robar cuentas de otros. ✓Considere también a trabajadores que quieran enmascarar sus acciones.
  • 19. Punto Net Soluciones SRL © 2016 Exposición Datos Sensibles – Concepto ✓Debido a fallos en la implementación de distintas APIs, o sitios Web, muchas veces no se protege correctamente la información sensible, lo que permite a piratas informáticos hacerse, por ejemplo, con datos personales, bancarios o de salud de los usuarios.
  • 20. Punto Net Soluciones SRL © 2016 Entidades Externas XML – Concepto ✓Procesadores XML mal configurados pueden procesar ciertas referencias como si no se tratasen de entradas XML, lo que puede permitir revelar ficheros y recursos ocultos, e incluso ejecutar código o causar un ataque DoS.
  • 21. Punto Net Soluciones SRL © 2016 Pérdida de control de acceso – Concepto ✓Errores en la configuración de los sistemas de control de acceso, pueden permitir a un atacante acceder a recursos y archivos para los que no debería tener permiso. ✓El impacto técnico incluye atacantes anónimos actuando como usuarios o administradores; usuarios que utilizan funciones privilegiadas o crean,acceden, actualizan o eliminant cualquier registro.
  • 22. Punto Net Soluciones SRL © 2016 Configuración de Seguridad Incorrecta - Concepto ✓ Aquí se engloba todo tipo de fallos relacionados con la configuración de todo tipo de sistemas de seguridad, desde las conexiones HTTPS hasta las aplicaciones de seguridad de cualquier sistema o servidor. ✓ Los atacantes a menudo intentarán explotar vulnerabilidades sin parchear o acceder a cuentas por defecto, páginas no utilizadas, archivos y directorios desprotegidos, etc.
  • 23. Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) - Concepto ✓Considere cualquier persona que pueda enviar datos no confiables al sistema, incluyendo usuarios externos, internos y administradores. ✓Explotar vulnerabilidades habitualmente en entornos web mediante la inyección de código. El término inyección de código, hace referencia al intentar hacer ejecutar un código ajeno dentro de otro programa.
  • 24. Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) Ejemplo: (demo) 1) Ingrese a demo.testfire.net 2) En Search escriba : <h1><marquee> Bienvenidos a ARGENTESTING </marquee></h1> 3) Presione el botón GO. 4) Copie el link de la URL en https://bitly.com/ 5) Debe obtener el link https://bit.ly/2nGwsNq 6) Enviar por correo.
  • 25. Punto Net Soluciones SRL © 2016 Deserialización insegura – Concepto ✓ La serialización es el proceso de convertir algún objeto en un formato de datos que se puede restaurar más adelante. ✓ Las personas suelen serializar objetos para guardarlos en el almacenamiento o para enviarlos como parte de las comunicaciones. La deserialización es lo contrario de ese proceso: tomar datos estructurados a partir de algún formato y reconstruirlo en un objeto. Hoy en día, el formato de datos más popular para serializar datos es JSON. Antes de eso, era XML.
  • 26. Punto Net Soluciones SRL © 2016 Uso de Componentes con Vulnerabilidades Conocidas – Concepto ✓ Como su nombre indica, en esta categoría se recogen todos los usos de librerías, frameworks y otros recursos de software que tienen vulnerabilidades, por lo que al utilizarlos en una plataforma o un proyecto, automáticamente se vuelven vulnerable, quedando en peligro a través de estos recursos.
  • 27. Punto Net Soluciones SRL © 2016 Registro y Monitoreo insuficiente - Concepto ✓Debido a la falta de monitorización, la mayoría de las veces se tarda hasta 200 días en detectar una vulnerabilidad en un software o una plataforma web, tiempo que se podría reducir notablemente tan solo configurando mayores controles, mejorando la monitorización y con más registros a estas plataformas.
  • 28. Punto Net Soluciones SRL © 2016 Más Vulnerable Publicando servicios con aplicaciones móviles
  • 29. Punto Net Soluciones SRL © 2016 Desarrollo inseguro  75% de las apps móviles no pasaría pruebas básicas de seguridad.  Controles de seguridad quedan excluidos del proceso de diseño.  En entornos de desarrollo se deben validar las aplicaciones.  Del 100% testeado, 99.98% tenían problemas de seguridad.
  • 30. Punto Net Soluciones SRL © 2016 Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Area Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía AMBITO DE APLICACION
  • 31. Punto Net Soluciones SRL © 2016 Análisis estático
  • 32. Punto Net Soluciones SRL © 2016 Análisis dinámico
  • 33. Punto Net Soluciones SRL © 2016 ¿Cómo testear?  No hay presupuesto no es una excusa.  OWASP provee metodología de evaluación. VER PLANILLA.  Uso de herramientas Open-Source: ◦ MobSF ◦ Qark ◦ Mara ◦ Drozer
  • 34. Punto Net Soluciones SRL © 2016 MobSF - DEMO  MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX). ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad
  • 35. Punto Net Soluciones SRL © 2016 Mara Framework - DEMO  Es un marco de análisis e ingeniería inversa de aplicaciones móviles.  Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.
  • 36. Punto Net Soluciones SRL © 2016 Mara Framework - DEMO  Ejecutar el comando . ◦ /mara.sh -s <aplicacionapk>.apk  Resultados en ◦ /MARA_Framework/data/APK.APK/Analysis
  • 37. Punto Net Soluciones SRL © 2016 QARK - DEMO  Quick Android Review Kit  Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.  QARK educa a los desarrolladores. Ejecutar el comando qark --apk <aplicacionapk>.apk
  • 38. Punto Net Soluciones SRL © 2016 Links útiles  https://github.com/ashishb/android- security-awesome  https://www.owasp.org
  • 39. Punto Net Soluciones SRL © 2016 Código Fuente no puede modificarse Resolver con Infraestructura
  • 40. Punto Net Soluciones SRL © 2016 WAF (Web App. Firewall) ✓ SQL injection ✓ Cross site scripting ✓ Common attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack ✓ HTTP protocol violations ✓ HTTP protocol anomalies ✓ Bots, crawlers, and scanners ✓ Common application misconfigurations (e.g. Apache, IIS, etc.) ✓ HTTP Denial of Service Azure Web Application Firewall (WAF) OWASP ModSecurity Core Rule Set (CRS) OWASP core rule sets
  • 41. Punto Net Soluciones SRL © 2016 WAF
  • 42. ¡Muchas Gracias! Enrique G. Dutra [ info@argentesting.com | www.argentesting.com ] Blog https://seguridadit.blogspot.com/ Linkedin /in/enriquedutra/ Twitter.com /egdutra Mail edutra@puntonetsoluciones.com.ar [ info@puntonetsoluciones.com.ar | www.puntonetsoluciones.com.ar ]