SlideShare una empresa de Scribd logo

Analisis Aplicaciones Moviles con OWASP

Enrique Gustavo Dutra
Enrique Gustavo Dutra

Analizar problemas de seguridad de aplicaciones moviles y como con Testing e Infraestructura podemos protegerlas

Tecnología
1 de 31
Descargar para leer sin conexión
Secure design of applications for mobile devices. Enrique G. Dutra
Punto Net Soluciones SRL © 2016 Enrique Gustavo Dutra  Socio Gerente de Punto Net Soluciones SRL  MVP desde 2006, actualmente MVP Cloud and Datacenter Management  32 años de experiencia en Seguridad de la Información/ Informática.  Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL.  Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.  Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103.  Instructor en CPCIPC de la ESAPI.  Disertante en eventos en LATAM.
Punto Net Soluciones SRL © 2016 Agenda  Problemática actual  Metodología de evaluación de software  OWASP ◦ Metodología. ◦ Análisis estático vs dinámico. ◦ Herramientas y soluciones.  Infraestructura al rescate.
Punto Net Soluciones SRL © 2013 Situación actual Exposición de los servicios y datos a Internet.
Punto Net Soluciones SRL © 2016 ¿Qué ocurre hoy en Internet?
Punto Net Soluciones SRL © 2016 Plataformas inseguras https://raidforums.com/
Copyright Punto Net Soluciones SRL © - 2012 Juguemos…. In June 2016, a data breach allegedly originating from the social website Badoo was found to be circulating amongst traders. Likely obtained several years earlier, the data contained 112 million unique email addresses with personal data including names, birthdates and passwords stored as MD5 hashes.
Punto Net Soluciones SRL © 2016 Problemáticas… ✓ Framework desarrollo instalado en producción. ✓ Ausencia de ambientes desarrollo / testing. ✓ Ausencia de validaciones en formularios Web. ✓ Fallas en validación/auntenticación. ✓ Software con ”hardcode”. ✓ Ausencia de conexión cifradas. ✓ Configuración Web permite SQL Injection. ✓ Usuarios de prueba en producción. ✓ Base de datos sin protección o semilla. ✓ Datos sensibles en base de datos : ✓ Ley 25326 Rep. Arg., ✓ HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓ PCI-DSS, ✓ Otros.
Punto Net Soluciones SRL © 2016 Ejemplos…
Punto Net Soluciones SRL © 2013 Introducción a OWASP Open Web Application Security Project
Punto Net Soluciones SRL © 2016 OWASP ✓Promueve el desarrollo de software seguro ✓ Orientada a la prestación de servicios orientados a la Web. ✓Se centra principalmente en el "back-end" mas que en cuestiones de diseño web. ✓Un foro abierto para el debate. ✓ Un recurso gratuito para cualquier equipo de desarrollo de software. https://www.owasp.org
Punto Net Soluciones SRL © 2016 OWASP Top 10 ✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP. ✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
Punto Net Soluciones SRL © 2016 OWASP ✓ Materiales de Educación ◦ OWASP Top 10 ◦ Guía de Desarrollo OWASP ◦ Guía de Testing OWASP ◦ Guía OWASP para aplicaciones Web Seguras ✓ Software ◦ WebGoat ◦ WebScarab ◦ ESAPI ◦ ZAP ✓ Capítulos Locales ◦ Comunidades interesadas en Seguridad de Aplicaciones
Punto Net Soluciones SRL © 2016 Maduración desde el 2004
Punto Net Soluciones SRL © 2016 Injection Ejemplo: (demo) 1) Acceder sitio http://demo.testfire.net/ 2) Ingresar usuario admin o jsmith 3) Password ' or '1'='1 4) Ingresar usuario ' or '1'='1 5) Password ' or '1'='1
Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) Ejemplo: (demo) 1) Ingrese a demo.testfire.net 2) En Search escriba : <h1><marquee> Bienvenidos a vOpen UY </marquee></h1> 3) Presione el botón GO. 4) Copie el link de la URL en https://bitly.com/. 5) Debe obtener el link https://bit.ly/31BDEc3 6) Enviar por correo.
Punto Net Soluciones SRL © 2013 Más Vulnerable Publicando servicios con aplicaciones móviles
Punto Net Soluciones SRL © 2016 Desarrollo inseguro  75% de las apps móviles no pasaría pruebas básicas de seguridad.  Controles de seguridad quedan excluidos del proceso de diseño.  En entornos de desarrollo se deben validar las aplicaciones.  Del 100% testeado, 99.98% tenían problemas de seguridad.
Punto Net Soluciones SRL © 2016 Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Area Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía
Punto Net Soluciones SRL © 2016 Análisis estático
Punto Net Soluciones SRL © 2016 Análisis dinámico
Punto Net Soluciones SRL © 2016 ¿Cómo testear?  No hay presupuesto no es una excusa.  OWASP provee metodología de evaluación. VER PLANILLA.  Uso de herramientas Open-Source: ◦ MobSF ◦ Qark ◦ Mara
Punto Net Soluciones SRL © 2016 MobSF - DEMO  MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX). ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad
Punto Net Soluciones SRL © 2016 Mara Framework  Es un marco de análisis e ingeniería inversa de aplicaciones móviles.  Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.
Punto Net Soluciones SRL © 2016 Mara Framework  Ejecutar el comando . ◦ /mara.sh -s <aplicacionapk>.apk  Resultados en ◦ /MARA_Framework/data/APK.APK/Analysis
Punto Net Soluciones SRL © 2016 QARK  Quick Android Review Kit  Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.  QARK educa a los desarrolladores. Ejecutar el comando qark --apk <aplicacionapk>.apk
Punto Net Soluciones SRL © 2016 Links útiles  https://github.com/ashishb/android- security-awesome  https://www.owasp.org
Punto Net Soluciones SRL © 2013 Código Fuente no puede modificarse Resolver con Infraestructura
Punto Net Soluciones SRL © 2016 WAF ✓ SQL injection ✓ Cross site scripting ✓ Common attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack ✓ HTTP protocol violations ✓ HTTP protocol anomalies ✓ Bots, crawlers, and scanners ✓ Common application misconfigurations (e.g. Apache, IIS, etc.) ✓ HTTP Denial of Service Azure Web Application Firewall (WAF) OWASP ModSecurity Core Rule Set (CRS) OWASP core rule sets
Punto Net Soluciones SRL © 2016 WAF
¡Gracias! Blog https://seguridadit.blogspot.com/ Linkedin /in/enriquedutra/ Twitter /egdutra Mail edutra@puntonetsoluciones.com.ar

Recomendados

Cloud Security And Privacy
Cloud Security And PrivacyCloud Security And Privacy
Cloud Security And Privacytmather
 
CCNA 1 Routing and Switching v5.0 Chapter 1
CCNA 1 Routing and Switching v5.0 Chapter 1CCNA 1 Routing and Switching v5.0 Chapter 1
CCNA 1 Routing and Switching v5.0 Chapter 1Nil Menon
 
Peer to peer Networks
Peer to peer Networks Peer to peer Networks
Peer to peer Networks Nicola Cerami
 
Introduction to TLS-1.3
Introduction to TLS-1.3 Introduction to TLS-1.3
Introduction to TLS-1.3 Vedant Jain
 
Tutorial on SDN data plane evolution
Tutorial on SDN data plane evolutionTutorial on SDN data plane evolution
Tutorial on SDN data plane evolutionAntonio Capone
 
Introduction to SDN and NFV
Introduction to SDN and NFVIntroduction to SDN and NFV
Introduction to SDN and NFVCoreStack
 
Orion NTA Customer Training
Orion NTA Customer TrainingOrion NTA Customer Training
Orion NTA Customer TrainingSolarWinds
 
Palo alto networks next generation firewalls
Palo alto networks next generation firewallsPalo alto networks next generation firewalls
Palo alto networks next generation firewallsCastleforce
 

Recomendados

Cloud Security And Privacy
Cloud Security And PrivacyCloud Security And Privacy
Cloud Security And Privacytmather
 
CCNA 1 Routing and Switching v5.0 Chapter 1
CCNA 1 Routing and Switching v5.0 Chapter 1CCNA 1 Routing and Switching v5.0 Chapter 1
CCNA 1 Routing and Switching v5.0 Chapter 1Nil Menon
 
Peer to peer Networks
Peer to peer Networks Peer to peer Networks
Peer to peer Networks Nicola Cerami
 
Introduction to TLS-1.3
Introduction to TLS-1.3 Introduction to TLS-1.3
Introduction to TLS-1.3 Vedant Jain
 
Tutorial on SDN data plane evolution
Tutorial on SDN data plane evolutionTutorial on SDN data plane evolution
Tutorial on SDN data plane evolutionAntonio Capone
 
Introduction to SDN and NFV
Introduction to SDN and NFVIntroduction to SDN and NFV
Introduction to SDN and NFVCoreStack
 
Orion NTA Customer Training
Orion NTA Customer TrainingOrion NTA Customer Training
Orion NTA Customer TrainingSolarWinds
 
Palo alto networks next generation firewalls
Palo alto networks next generation firewallsPalo alto networks next generation firewalls
Palo alto networks next generation firewallsCastleforce
 
SD WAN
SD WANSD WAN
SD WANBri Molina
 
Chapter 9: Access Control Management
Chapter 9: Access Control ManagementChapter 9: Access Control Management
Chapter 9: Access Control ManagementNada G.Youssef
 
Introduction To OpenStack
Introduction To OpenStackIntroduction To OpenStack
Introduction To OpenStackHaim Ateya
 
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & Limitations
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & LimitationsDAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & Limitations
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & LimitationsiAppSecure Solutions
 
The business case for SD WAN in the enterprise
The business case for SD WAN in the enterprise The business case for SD WAN in the enterprise
The business case for SD WAN in the enterprise Colt Technology Services
 
Cloud Computing Using OpenStack
Cloud Computing Using OpenStack Cloud Computing Using OpenStack
Cloud Computing Using OpenStack Bangladesh Network Operators Group
 
Introduction to Internet Governance and Cyber-security
Introduction to Internet Governance and Cyber-securityIntroduction to Internet Governance and Cyber-security
Introduction to Internet Governance and Cyber-securityGlenn McKnight
 
SDN OpenDaylight
SDN OpenDaylightSDN OpenDaylight
SDN OpenDaylightMokhless Hachicha
 
Network Security
Network SecurityNetwork Security
Network SecurityMAJU
 
Open source cloud native security with threat mapper
Open source cloud native security with threat mapperOpen source cloud native security with threat mapper
Open source cloud native security with threat mapperLibbySchulze
 
Introduction to Metasploit
Introduction to MetasploitIntroduction to Metasploit
Introduction to MetasploitGTU
 
Openstack 101
Openstack 101Openstack 101
Openstack 101Kamesh Pemmaraju
 
OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerChandrak Trivedi
 
Introduction to OpenStack
Introduction to OpenStackIntroduction to OpenStack
Introduction to OpenStackEdureka!
 
Information Assurance Metrics: Practical Steps to Measurement
Information Assurance Metrics: Practical Steps to MeasurementInformation Assurance Metrics: Practical Steps to Measurement
Information Assurance Metrics: Practical Steps to MeasurementEnclaveSecurity
 
Why sdn
Why sdnWhy sdn
Why sdnlz1dsb
 
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012Microsoft Technet France
 
Securing SCADA
Securing SCADA Securing SCADA
Securing SCADA Jeffrey Wang , P.Eng
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Network security Topic 2 overview continued
Network security Topic 2 overview continuedNetwork security Topic 2 overview continued
Network security Topic 2 overview continuedKhawar Nehal khawar.nehal@atrc.net.pk
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 

Más contenido relacionado

La actualidad más candente

Chapter 9: Access Control Management
Chapter 9: Access Control ManagementChapter 9: Access Control Management
Chapter 9: Access Control ManagementNada G.Youssef
 
Introduction To OpenStack
Introduction To OpenStackIntroduction To OpenStack
Introduction To OpenStackHaim Ateya
 
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & Limitations
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & LimitationsDAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & Limitations
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & LimitationsiAppSecure Solutions
 
The business case for SD WAN in the enterprise
The business case for SD WAN in the enterprise The business case for SD WAN in the enterprise
The business case for SD WAN in the enterprise Colt Technology Services
 
Introduction to Internet Governance and Cyber-security
Introduction to Internet Governance and Cyber-securityIntroduction to Internet Governance and Cyber-security
Introduction to Internet Governance and Cyber-securityGlenn McKnight
 
Network Security
Network SecurityNetwork Security
Network SecurityMAJU
 
Open source cloud native security with threat mapper
Open source cloud native security with threat mapperOpen source cloud native security with threat mapper
Open source cloud native security with threat mapperLibbySchulze
 
Introduction to Metasploit
Introduction to MetasploitIntroduction to Metasploit
Introduction to MetasploitGTU
 
OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerChandrak Trivedi
 
Introduction to OpenStack
Introduction to OpenStackIntroduction to OpenStack
Introduction to OpenStackEdureka!
 
Information Assurance Metrics: Practical Steps to Measurement
Information Assurance Metrics: Practical Steps to MeasurementInformation Assurance Metrics: Practical Steps to Measurement
Information Assurance Metrics: Practical Steps to MeasurementEnclaveSecurity
 
Why sdn
Why sdnWhy sdn
Why sdnlz1dsb
 
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012Microsoft Technet France
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 

La actualidad más candente (20)

SD WAN
SD WANSD WAN
SD WAN
 
Chapter 9: Access Control Management
Chapter 9: Access Control ManagementChapter 9: Access Control Management
Chapter 9: Access Control Management
 
Introduction To OpenStack
Introduction To OpenStackIntroduction To OpenStack
Introduction To OpenStack
 
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & Limitations
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & LimitationsDAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & Limitations
DAST, SAST, Hybrid, Hybrid 2.0 & IAST - Methodology & Limitations
 
The business case for SD WAN in the enterprise
The business case for SD WAN in the enterprise The business case for SD WAN in the enterprise
The business case for SD WAN in the enterprise
 
Cloud Computing Using OpenStack
Cloud Computing Using OpenStack Cloud Computing Using OpenStack
Cloud Computing Using OpenStack
 
Introduction to Internet Governance and Cyber-security
Introduction to Internet Governance and Cyber-securityIntroduction to Internet Governance and Cyber-security
Introduction to Internet Governance and Cyber-security
 
SDN OpenDaylight
SDN OpenDaylightSDN OpenDaylight
SDN OpenDaylight
 
Network Security
Network SecurityNetwork Security
Network Security
 
Open source cloud native security with threat mapper
Open source cloud native security with threat mapperOpen source cloud native security with threat mapper
Open source cloud native security with threat mapper
 
Introduction to Metasploit
Introduction to MetasploitIntroduction to Metasploit
Introduction to Metasploit
 
Openstack 101
Openstack 101Openstack 101
Openstack 101
 
OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment Scanner
 
Introduction to OpenStack
Introduction to OpenStackIntroduction to OpenStack
Introduction to OpenStack
 
Information Assurance Metrics: Practical Steps to Measurement
Information Assurance Metrics: Practical Steps to MeasurementInformation Assurance Metrics: Practical Steps to Measurement
Information Assurance Metrics: Practical Steps to Measurement
 
Why sdn
Why sdnWhy sdn
Why sdn
 
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
 
Securing SCADA
Securing SCADA Securing SCADA
Securing SCADA
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Network security Topic 2 overview continued
Network security Topic 2 overview continuedNetwork security Topic 2 overview continued
Network security Topic 2 overview continued
 

Similar a Analisis Aplicaciones Moviles con OWASP

Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Internet Security Auditors
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españoldavimoryz
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2Fernando M. Imperiale
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptxssuser3937f41
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Symantec LATAM
 

Similar a Analisis Aplicaciones Moviles con OWASP (20)

Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Seguridad en Cloud Computing
Seguridad en Cloud ComputingSeguridad en Cloud Computing
Seguridad en Cloud Computing
 
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Softwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redesSoftwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redes
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoria
 
Menos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsMenos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL Injections
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
 

Más de Enrique Gustavo Dutra

[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azureEnrique Gustavo Dutra
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Enrique Gustavo Dutra
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]Enrique Gustavo Dutra
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de RansomwareEnrique Gustavo Dutra
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Enrique Gustavo Dutra
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - PresentaciónEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMEnrique Gustavo Dutra
 

Más de Enrique Gustavo Dutra (11)

WAF de AZURE
WAF de AZUREWAF de AZURE
WAF de AZURE
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019
 
Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de Ransomware
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
 

Último

2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendidaLuis Francisco Reyes Aceves
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...axelv9257
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfYanitza28
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxdulcemonterroza
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfaxelv9257
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionEmanuelMuoz11
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASMarc Liust
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfYanitza28
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8antoniopalmieriluna
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxgustavovasquezv56
 

Último (18)

2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 

Analisis Aplicaciones Moviles con OWASP

  • 1. Secure design of applications for mobile devices. Enrique G. Dutra
  • 2. Punto Net Soluciones SRL © 2016 Enrique Gustavo Dutra  Socio Gerente de Punto Net Soluciones SRL  MVP desde 2006, actualmente MVP Cloud and Datacenter Management  32 años de experiencia en Seguridad de la Información/ Informática.  Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL.  Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.  Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103.  Instructor en CPCIPC de la ESAPI.  Disertante en eventos en LATAM.
  • 3. Punto Net Soluciones SRL © 2016 Agenda  Problemática actual  Metodología de evaluación de software  OWASP ◦ Metodología. ◦ Análisis estático vs dinámico. ◦ Herramientas y soluciones.  Infraestructura al rescate.
  • 4. Punto Net Soluciones SRL © 2013 Situación actual Exposición de los servicios y datos a Internet.
  • 5. Punto Net Soluciones SRL © 2016 ¿Qué ocurre hoy en Internet?
  • 6. Punto Net Soluciones SRL © 2016 Plataformas inseguras https://raidforums.com/
  • 7. Copyright Punto Net Soluciones SRL © - 2012 Juguemos…. In June 2016, a data breach allegedly originating from the social website Badoo was found to be circulating amongst traders. Likely obtained several years earlier, the data contained 112 million unique email addresses with personal data including names, birthdates and passwords stored as MD5 hashes.
  • 8. Punto Net Soluciones SRL © 2016 Problemáticas… ✓ Framework desarrollo instalado en producción. ✓ Ausencia de ambientes desarrollo / testing. ✓ Ausencia de validaciones en formularios Web. ✓ Fallas en validación/auntenticación. ✓ Software con ”hardcode”. ✓ Ausencia de conexión cifradas. ✓ Configuración Web permite SQL Injection. ✓ Usuarios de prueba en producción. ✓ Base de datos sin protección o semilla. ✓ Datos sensibles en base de datos : ✓ Ley 25326 Rep. Arg., ✓ HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓ PCI-DSS, ✓ Otros.
  • 9. Punto Net Soluciones SRL © 2016 Ejemplos…
  • 10. Punto Net Soluciones SRL © 2013 Introducción a OWASP Open Web Application Security Project
  • 11. Punto Net Soluciones SRL © 2016 OWASP ✓Promueve el desarrollo de software seguro ✓ Orientada a la prestación de servicios orientados a la Web. ✓Se centra principalmente en el "back-end" mas que en cuestiones de diseño web. ✓Un foro abierto para el debate. ✓ Un recurso gratuito para cualquier equipo de desarrollo de software. https://www.owasp.org
  • 12. Punto Net Soluciones SRL © 2016 OWASP Top 10 ✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP. ✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
  • 13. Punto Net Soluciones SRL © 2016 OWASP ✓ Materiales de Educación ◦ OWASP Top 10 ◦ Guía de Desarrollo OWASP ◦ Guía de Testing OWASP ◦ Guía OWASP para aplicaciones Web Seguras ✓ Software ◦ WebGoat ◦ WebScarab ◦ ESAPI ◦ ZAP ✓ Capítulos Locales ◦ Comunidades interesadas en Seguridad de Aplicaciones
  • 14. Punto Net Soluciones SRL © 2016 Maduración desde el 2004
  • 15. Punto Net Soluciones SRL © 2016 Injection Ejemplo: (demo) 1) Acceder sitio http://demo.testfire.net/ 2) Ingresar usuario admin o jsmith 3) Password ' or '1'='1 4) Ingresar usuario ' or '1'='1 5) Password ' or '1'='1
  • 16. Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) Ejemplo: (demo) 1) Ingrese a demo.testfire.net 2) En Search escriba : <h1><marquee> Bienvenidos a vOpen UY </marquee></h1> 3) Presione el botón GO. 4) Copie el link de la URL en https://bitly.com/. 5) Debe obtener el link https://bit.ly/31BDEc3 6) Enviar por correo.
  • 17. Punto Net Soluciones SRL © 2013 Más Vulnerable Publicando servicios con aplicaciones móviles
  • 18. Punto Net Soluciones SRL © 2016 Desarrollo inseguro  75% de las apps móviles no pasaría pruebas básicas de seguridad.  Controles de seguridad quedan excluidos del proceso de diseño.  En entornos de desarrollo se deben validar las aplicaciones.  Del 100% testeado, 99.98% tenían problemas de seguridad.
  • 19. Punto Net Soluciones SRL © 2016 Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Area Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía
  • 20. Punto Net Soluciones SRL © 2016 Análisis estático
  • 21. Punto Net Soluciones SRL © 2016 Análisis dinámico
  • 22. Punto Net Soluciones SRL © 2016 ¿Cómo testear?  No hay presupuesto no es una excusa.  OWASP provee metodología de evaluación. VER PLANILLA.  Uso de herramientas Open-Source: ◦ MobSF ◦ Qark ◦ Mara
  • 23. Punto Net Soluciones SRL © 2016 MobSF - DEMO  MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX). ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad
  • 24. Punto Net Soluciones SRL © 2016 Mara Framework  Es un marco de análisis e ingeniería inversa de aplicaciones móviles.  Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.
  • 25. Punto Net Soluciones SRL © 2016 Mara Framework  Ejecutar el comando . ◦ /mara.sh -s <aplicacionapk>.apk  Resultados en ◦ /MARA_Framework/data/APK.APK/Analysis
  • 26. Punto Net Soluciones SRL © 2016 QARK  Quick Android Review Kit  Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.  QARK educa a los desarrolladores. Ejecutar el comando qark --apk <aplicacionapk>.apk
  • 27. Punto Net Soluciones SRL © 2016 Links útiles  https://github.com/ashishb/android- security-awesome  https://www.owasp.org
  • 28. Punto Net Soluciones SRL © 2013 Código Fuente no puede modificarse Resolver con Infraestructura
  • 29. Punto Net Soluciones SRL © 2016 WAF ✓ SQL injection ✓ Cross site scripting ✓ Common attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack ✓ HTTP protocol violations ✓ HTTP protocol anomalies ✓ Bots, crawlers, and scanners ✓ Common application misconfigurations (e.g. Apache, IIS, etc.) ✓ HTTP Denial of Service Azure Web Application Firewall (WAF) OWASP ModSecurity Core Rule Set (CRS) OWASP core rule sets
  • 30. Punto Net Soluciones SRL © 2016 WAF