Avances tecnológicos del siglo XXI y ejemplos de estos
Webinar Gratuito: Guía de Pruebas de OWASP
1. Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
Jueves 31 de Enero del 2019
WebinarGratuito
Guía de Pruebas de
OWASP
2. Presentación
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation
Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials
Certificate, IT Masters Certificate of Achievement en Network Security
Administrator, Hacking Countermeasures, Cisco CCNA Security,
Information Security Incident Handling, Digital Forensics, Cybersecurity
Management Cyber Warfare and Terrorism, Enterprise Cyber Security
Fundamentals y Phishing Countermeasures.
Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky
Perú. Cuenta con más de 16 años de experiencia y desde hace 12 años
labora como consultor e instructor independiente en las áreas de
Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales
en Ecuador, España, Bolivia y Perú, presentándose también
constantemente en exposiciones enfocadas a Hacking Ético, Forense
Digital, GNU/Linux.
https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/ http://www.reydes.com
https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
3. Introducción
La creación de la versión 4 de la Guía de pruebas de OWASP, tiene
como propósito ser una guía estándar de facto para realizar
pruebas de penetración contra aplicaciones web. La versión 4 de la
guía de pruebas de OWASP, mejora la versión anterior de tres
maneras.
1. Esta versión se integra con otros dos documentos de OWASP; la
guía para desarrolladores, y la guía para revisión de código.
2. Todos los capítulos han sido mejorados y los casos de pruebas
ampliados a 87, incluyendo la introducción de cuatro nuevos
capítulos y controles.
3. Esta versión alienta a la comunidad a no aceptar simplemente
los casos descritos en la guía. Recomienda integrar con otro
software de prueba y diseñar casos de pruebas específicos.
* OWASP Testing Guide v4: https://www.owasp.org/index.php/OWASP_Testing_Project
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
4. Proyecto de Pruebas de OWASP
Este proyecto ha estado en desarrollo por muchos años. El
propósito del proyecto es ayudar a las personas a entender el que,
porque, cuando, donde, y el como de las pruebas a aplicaciones
web.
El proyecto entrega una completa estructura para pruebas, no
meramente una lista de verificación o prescripción de problemas
los cuales deben sera abarcados.
Los lectores pueden utilizar esta estructura de trabajo como una
plantilla para construir sus propios programas de pruebas, o para
cualificar los procesos de otras personas.
La guía de pruebas describe en detalle ya sea la estructura general
de pruebas, y las técnicas requeridas para implementar el marco de
trabajo en la practica.
* Testing Guide Introduction:
https://www.owasp.org/index.php/Testing_Guide_Introduction#The_OWASP_Testing_Project
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
5. Pruebas de Penetración
Han sido una técnica comúnmente utilizada para evaluar la
seguridad de las redes por muchos años. También se conoce como
pruebas de caja negra o Hacking Ético.
La prueba de penetración es el “arte” de probar una aplicación en
funcionamiento de manera remota, para encontrar
vulnerabilidades de seguridad, sin conocer el funcionamiento
interno de la aplicación en si.
Típicamente un equipo de prueba de penetración tendrá acceso
hacia una aplicación, como si fuesen los usuarios. El profesional
actúa como un atacante e intenta encontrar y explotar
vulnerabilidades.
En muchos casos al profesional se le proporcionará una cuenta
válida en el sistema.
* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
6. Pruebas de Penetración (Cont.)
Si bien las pruebas de penetración demuestran ser efectivas en la
seguridad de las redes, la técnica no se traduce naturalmente hacia
las aplicaciones.
Cuando se realiza una prueba de penetración en redes y sistemas
operativos, la mayoría del trabajo implica encontrar y explotar
vulnerabilidades conocidas en tecnologías específicas.
Como las aplicaciones web son casi exclusivamente hechas a
medida, las pruebas de penetración en este campo son más
parecidas a una investigación pura.
Se han desarrollado herramientas para automatizar el proceso,
pero dada la naturaleza de las aplicaciones web, su efectividad es
usualmente baja.
* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
7. Estructura de Trabajo para Pruebas de OWASP
Se describe una estructura típica de pruebas a desplegar en una
organización:
Fase 1: Antes de iniciar de desarrollo
●
Fase 1.1: Definir un SDLC
●
Fase 1.2: Revisar las políticas y estándares
●
Fase 1.3: Desarrollar criterios de medidas y métricas y asegurar
trazabilidad
Fase 2: Durante la definición y diseño
●
Fase 2.1: Revisión de requerimientos en seguridad
●
Fase 2.2: Revisión del diseño y arquitectura
●
Fase 2.3: Crear y revisar modelos UML
●
Fase 2.4: Crear y revisar modelos de amenazas
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
8. Estructura de Trabajo para Pruebas de OWASP
Fase 3: Durante el desarrollo
●
Fase 3.1: Recorrer a través del código
●
Fase 3.2: Revisión del código
Fase 4: Durante el despliegue
●
Fase 4.1: Pruebas de penetración contra la aplicación
●
Fase 4.1: Pruebas de gestión de la configuración
Fase 5: Mantenimiento y operaciones
●
Fase 5.1: Realizar revisiones de gestión operacional
●
Fase 5.2: Realizar verificaciones periódicas de bienestar
●
Fase 5.3: Asegurar verificación de cambios
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
9. Un Típico Flujo de Trabajo para Probar SDLC
* A Typical SDLC Testing Workflow:
https://www.owasp.org/index.php/The_OWASP_Testing_Framework#A_Typical_SDLC_Testing_Workflow
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
10. Pruebas de Seguridad a Aplicaciones web
Es un método para evaluar la seguridad de un sistema de cómputo
o red, mediante una validación metodológica, y verificando la
efectividad de los controles de seguridad en la aplicación.
Una prueba de seguridad contra aplicaciones web se enfoca
únicamente en evaluar la seguridad de una aplicación web. El
proceso involucra análisis activo de la aplicación por debilidades,
fallas técnicas, o vulnerabilidades.
Cualquier inconveniente encontrado será presentado al
propietario del sistema, junto con una evaluación del impacto, y
una propuesta para mitigarlo o una solución técnica.
* Testing: Introduction and objectives: https://www.owasp.org/index.php/Testing:_Introduction_and_objectives
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
11. Metodología de Pruebas de OWASP
Las pruebas de seguridad nunca serán una ciencia exacta, donde se
pueda definir una lista completa de todos los posibles
inconvenientes a ser evaluados. De hecho, las pruebas de
seguridad son únicamente una técnica apropiada para probar la
seguridad de las aplicaciones web, bajo ciertas circunstancias.
El objetivo del proyecto es recopilar todas las técnicas de pruebas
posibles, explicar las técnicas, y mantener la guía actualizada. El
método de prueba de seguridad contra aplicaciones web de
OWASP, se basa en la perspectiva de caja negra. En donde el
profesional no conoce nada o tiene poca información sobre la
aplicación a ser evaluada.
El modelo está constituido de; el profesional, herramientas y
metodologías, y la aplicación.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
12. Lista de Verificación de Pruebas
La siguiente es un resumen de la lista de controles a evaluar
durante las pruebas.
●
Captura de Información (Information Gathering)
●
Pruebas de Gestión de las Configuración y Despliegue
(Configuration and Deploy Management Testing)
●
Pruebas de Gestión de Identidad (Identity Management
Testing)
●
Pruebas de Autenticación (Authentication Testing)
●
Pruebas de Autorización (Authorization Testing)
●
Pruebas de Gestión de la Sesión (Session Management Testing)
●
Pruebas de Validación de Datos (Data Validation Testing)
●
Manejo de Error (Error Handling)
●
Criptografía (Cryptography)
●
Pruebas de la Lógica de la Empresa (Business Logic Testing)
●
Pruebas del Lago del Cliente (Client Side Testing)
* Testing Checklist: https://www.owasp.org/index.php/Testing_Checklist
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
13. Captura de Información
Probar por captura de información incluye los siguientes artículos:
●
Realizar Descubrimiento en Motores de Búsqueda y
Reconocimiento por Fuga de Información
●
Obtener la Huella del Servidor Web
●
Revisar Metaarchivos del Servidor Web por Exposición de
Información
●
Enumerar las Aplicaciones en el Servidor Web
●
Revisar los Comentarios y Metadatos de la Página Web por
Exposición de Información
●
Identificar Puntos de Entrada a la Aplicación
●
Mapear Rutas de Ejecución a través de la Aplicación
●
Obtener la Huella del Framework de la Aplicación Web
●
Obtener una Huella de la Aplicación Web
●
Mapa de la Arquitectura de la Aplicación
* Testing for Information Gathering: https://www.owasp.org/index.php/Testing_Information_Gathering
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
16. Cursos Virtuales Disponibles en Video
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Curso Virtual de Hacking Ético
http://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Curso Virtual de Hacking Aplicaciones Web
http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Curso Virtual de Informática Forense
http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Curso Virtual Hacking con Kali Linux
http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
Curso Virtual OSINT - Open Source Intelligence
http://www.reydes.com/d/?q=Curso_de_OSINT
Curso Virtual Forense de Redes
http://www.reydes.com/d/?q=Curso_Forense_de_Redes
Y todos los cursos virtuales:
http://www.reydes.com/d/?q=cursos
17. Más Contenidos
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Videos de 44 webinars gratuitos
http://www.reydes.com/d/?q=videos
Diapositivas de los webinars gratuitos
http://www.reydes.com/d/?q=node/3
Artículos y documentos publicados
http://www.reydes.com/d/?q=node/2
Blog sobre temas de mi interés.
http://www.reydes.com/d/?q=blog/1
18. Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
Jueves 31 de Enero del 2019
WebinarGratuito
Guía de Pruebas de
OWASP