SlideShare una empresa de Scribd logo

Webinar Gratuito: Guía de Pruebas de OWASP

Alonso Caballero
Alonso Caballero

Sitio Web: http://www.reydes.com e-mail: caballero.alonso@gmail.com

Tecnología
1 de 18
Descargar para leer sin conexión
Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com Jueves 31 de Enero del 2019 WebinarGratuito Guía de Pruebas de OWASP
Presentación Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals y Phishing Countermeasures. Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 16 años de experiencia y desde hace 12 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux. https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero https://www.facebook.com/alonsoreydes/ http://www.reydes.com https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
Introducción La creación de la versión 4 de la Guía de pruebas de OWASP, tiene como propósito ser una guía estándar de facto para realizar pruebas de penetración contra aplicaciones web. La versión 4 de la guía de pruebas de OWASP, mejora la versión anterior de tres maneras. 1. Esta versión se integra con otros dos documentos de OWASP; la guía para desarrolladores, y la guía para revisión de código. 2. Todos los capítulos han sido mejorados y los casos de pruebas ampliados a 87, incluyendo la introducción de cuatro nuevos capítulos y controles. 3. Esta versión alienta a la comunidad a no aceptar simplemente los casos descritos en la guía. Recomienda integrar con otro software de prueba y diseñar casos de pruebas específicos. * OWASP Testing Guide v4: https://www.owasp.org/index.php/OWASP_Testing_Project Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Proyecto de Pruebas de OWASP Este proyecto ha estado en desarrollo por muchos años. El propósito del proyecto es ayudar a las personas a entender el que, porque, cuando, donde, y el como de las pruebas a aplicaciones web. El proyecto entrega una completa estructura para pruebas, no meramente una lista de verificación o prescripción de problemas los cuales deben sera abarcados. Los lectores pueden utilizar esta estructura de trabajo como una plantilla para construir sus propios programas de pruebas, o para cualificar los procesos de otras personas. La guía de pruebas describe en detalle ya sea la estructura general de pruebas, y las técnicas requeridas para implementar el marco de trabajo en la practica. * Testing Guide Introduction: https://www.owasp.org/index.php/Testing_Guide_Introduction#The_OWASP_Testing_Project Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Pruebas de Penetración Han sido una técnica comúnmente utilizada para evaluar la seguridad de las redes por muchos años. También se conoce como pruebas de caja negra o Hacking Ético. La prueba de penetración es el “arte” de probar una aplicación en funcionamiento de manera remota, para encontrar vulnerabilidades de seguridad, sin conocer el funcionamiento interno de la aplicación en si. Típicamente un equipo de prueba de penetración tendrá acceso hacia una aplicación, como si fuesen los usuarios. El profesional actúa como un atacante e intenta encontrar y explotar vulnerabilidades. En muchos casos al profesional se le proporcionará una cuenta válida en el sistema. * Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Pruebas de Penetración (Cont.) Si bien las pruebas de penetración demuestran ser efectivas en la seguridad de las redes, la técnica no se traduce naturalmente hacia las aplicaciones. Cuando se realiza una prueba de penetración en redes y sistemas operativos, la mayoría del trabajo implica encontrar y explotar vulnerabilidades conocidas en tecnologías específicas. Como las aplicaciones web son casi exclusivamente hechas a medida, las pruebas de penetración en este campo son más parecidas a una investigación pura. Se han desarrollado herramientas para automatizar el proceso, pero dada la naturaleza de las aplicaciones web, su efectividad es usualmente baja. * Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Estructura de Trabajo para Pruebas de OWASP Se describe una estructura típica de pruebas a desplegar en una organización: Fase 1: Antes de iniciar de desarrollo ● Fase 1.1: Definir un SDLC ● Fase 1.2: Revisar las políticas y estándares ● Fase 1.3: Desarrollar criterios de medidas y métricas y asegurar trazabilidad Fase 2: Durante la definición y diseño ● Fase 2.1: Revisión de requerimientos en seguridad ● Fase 2.2: Revisión del diseño y arquitectura ● Fase 2.3: Crear y revisar modelos UML ● Fase 2.4: Crear y revisar modelos de amenazas Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Estructura de Trabajo para Pruebas de OWASP Fase 3: Durante el desarrollo ● Fase 3.1: Recorrer a través del código ● Fase 3.2: Revisión del código Fase 4: Durante el despliegue ● Fase 4.1: Pruebas de penetración contra la aplicación ● Fase 4.1: Pruebas de gestión de la configuración Fase 5: Mantenimiento y operaciones ● Fase 5.1: Realizar revisiones de gestión operacional ● Fase 5.2: Realizar verificaciones periódicas de bienestar ● Fase 5.3: Asegurar verificación de cambios Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Un Típico Flujo de Trabajo para Probar SDLC * A Typical SDLC Testing Workflow: https://www.owasp.org/index.php/The_OWASP_Testing_Framework#A_Typical_SDLC_Testing_Workflow Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Pruebas de Seguridad a Aplicaciones web Es un método para evaluar la seguridad de un sistema de cómputo o red, mediante una validación metodológica, y verificando la efectividad de los controles de seguridad en la aplicación. Una prueba de seguridad contra aplicaciones web se enfoca únicamente en evaluar la seguridad de una aplicación web. El proceso involucra análisis activo de la aplicación por debilidades, fallas técnicas, o vulnerabilidades. Cualquier inconveniente encontrado será presentado al propietario del sistema, junto con una evaluación del impacto, y una propuesta para mitigarlo o una solución técnica. * Testing: Introduction and objectives: https://www.owasp.org/index.php/Testing:_Introduction_and_objectives Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Metodología de Pruebas de OWASP Las pruebas de seguridad nunca serán una ciencia exacta, donde se pueda definir una lista completa de todos los posibles inconvenientes a ser evaluados. De hecho, las pruebas de seguridad son únicamente una técnica apropiada para probar la seguridad de las aplicaciones web, bajo ciertas circunstancias. El objetivo del proyecto es recopilar todas las técnicas de pruebas posibles, explicar las técnicas, y mantener la guía actualizada. El método de prueba de seguridad contra aplicaciones web de OWASP, se basa en la perspectiva de caja negra. En donde el profesional no conoce nada o tiene poca información sobre la aplicación a ser evaluada. El modelo está constituido de; el profesional, herramientas y metodologías, y la aplicación. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Lista de Verificación de Pruebas La siguiente es un resumen de la lista de controles a evaluar durante las pruebas. ● Captura de Información (Information Gathering) ● Pruebas de Gestión de las Configuración y Despliegue (Configuration and Deploy Management Testing) ● Pruebas de Gestión de Identidad (Identity Management Testing) ● Pruebas de Autenticación (Authentication Testing) ● Pruebas de Autorización (Authorization Testing) ● Pruebas de Gestión de la Sesión (Session Management Testing) ● Pruebas de Validación de Datos (Data Validation Testing) ● Manejo de Error (Error Handling) ● Criptografía (Cryptography) ● Pruebas de la Lógica de la Empresa (Business Logic Testing) ● Pruebas del Lago del Cliente (Client Side Testing) * Testing Checklist: https://www.owasp.org/index.php/Testing_Checklist Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Captura de Información Probar por captura de información incluye los siguientes artículos: ● Realizar Descubrimiento en Motores de Búsqueda y Reconocimiento por Fuga de Información ● Obtener la Huella del Servidor Web ● Revisar Metaarchivos del Servidor Web por Exposición de Información ● Enumerar las Aplicaciones en el Servidor Web ● Revisar los Comentarios y Metadatos de la Página Web por Exposición de Información ● Identificar Puntos de Entrada a la Aplicación ● Mapear Rutas de Ejecución a través de la Aplicación ● Obtener la Huella del Framework de la Aplicación Web ● Obtener una Huella de la Aplicación Web ● Mapa de la Arquitectura de la Aplicación * Testing for Information Gathering: https://www.owasp.org/index.php/Testing_Information_Gathering Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Curso Virtual Hacking Aplicaciones Web 2019 Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: reydes@gmail.com Sitio web: http://www.reydes.com Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Demostraciones . Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Cursos Virtuales Disponibles en Video Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense Curso Virtual Hacking con Kali Linux http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux Curso Virtual OSINT - Open Source Intelligence http://www.reydes.com/d/?q=Curso_de_OSINT Curso Virtual Forense de Redes http://www.reydes.com/d/?q=Curso_Forense_de_Redes Y todos los cursos virtuales: http://www.reydes.com/d/?q=cursos
Más Contenidos Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Videos de 44 webinars gratuitos http://www.reydes.com/d/?q=videos Diapositivas de los webinars gratuitos http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com Jueves 31 de Enero del 2019 WebinarGratuito Guía de Pruebas de OWASP

Recomendados

Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012v3l3r0f0nt3
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 

Recomendados

Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012v3l3r0f0nt3
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroJavier Antunez / CISSP / LA27001 / IA9001
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Error, validación y verificación en ps
Error, validación y verificación en psError, validación y verificación en ps
Error, validación y verificación en psPablo Bonilla
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
DDS
DDSDDS
DDSBertha Vega
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASPRamón Salado Lucena
 
Proceso dedesarrollo
Proceso dedesarrolloProceso dedesarrollo
Proceso dedesarrolloZeza Technology
 
Introducción a la automatización de pruebas con tecnologías .Net
Introducción a la automatización de pruebas con tecnologías .NetIntroducción a la automatización de pruebas con tecnologías .Net
Introducción a la automatización de pruebas con tecnologías .NetAbel Quintana Lopez
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas.. ..
 
Ra.1..
Ra.1..Ra.1..
Ra.1..DavidLaelTavarezJere
 

Más contenido relacionado

La actualidad más candente

Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Error, validación y verificación en ps
Error, validación y verificación en psError, validación y verificación en ps
Error, validación y verificación en psPablo Bonilla
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Introducción a la automatización de pruebas con tecnologías .Net
Introducción a la automatización de pruebas con tecnologías .NetIntroducción a la automatización de pruebas con tecnologías .Net
Introducción a la automatización de pruebas con tecnologías .NetAbel Quintana Lopez
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 

La actualidad más candente (20)

Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Error, validación y verificación en ps
Error, validación y verificación en psError, validación y verificación en ps
Error, validación y verificación en ps
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
DDS
DDSDDS
DDS
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps Argentina
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASP
 
Proceso dedesarrollo
Proceso dedesarrolloProceso dedesarrollo
Proceso dedesarrollo
 
Introducción a la automatización de pruebas con tecnologías .Net
Introducción a la automatización de pruebas con tecnologías .NetIntroducción a la automatización de pruebas con tecnologías .Net
Introducción a la automatización de pruebas con tecnologías .Net
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de software
 

Similar a Webinar Gratuito: Guía de Pruebas de OWASP

Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas.. ..
 
366822968 paso-5-examen-final
366822968 paso-5-examen-final366822968 paso-5-examen-final
366822968 paso-5-examen-finaldanny rios
 
Calidad y Pruebas VIEWNEXT
Calidad y Pruebas VIEWNEXTCalidad y Pruebas VIEWNEXT
Calidad y Pruebas VIEWNEXTViewnext
 
Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1naviwz
 
Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Vanessa Toral Yépez
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidadEQ SOFT EIRL
 
Unidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de pruebaUnidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de pruebaDarleneperalta
 
Curso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfCurso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfBarcodeBarcode
 
#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOps
#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOps#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOps
#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOpsHablemosDeTesting
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Polo Perez
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
pruebas de calidad.pdf
pruebas de calidad.pdfpruebas de calidad.pdf
pruebas de calidad.pdfChirmi1
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1COLOMA22
 
Sesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxSesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxClaudioIbarraRios
 

Similar a Webinar Gratuito: Guía de Pruebas de OWASP (20)

Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas
 
Ra.1..
Ra.1..Ra.1..
Ra.1..
 
366822968 paso-5-examen-final
366822968 paso-5-examen-final366822968 paso-5-examen-final
366822968 paso-5-examen-final
 
Calidad y Pruebas VIEWNEXT
Calidad y Pruebas VIEWNEXTCalidad y Pruebas VIEWNEXT
Calidad y Pruebas VIEWNEXT
 
Calidad de software y TDD
Calidad de software y TDDCalidad de software y TDD
Calidad de software y TDD
 
Técnicas de prueba.docx
Técnicas de prueba.docxTécnicas de prueba.docx
Técnicas de prueba.docx
 
Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1
 
Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidad
 
Unidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de pruebaUnidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de prueba
 
Curso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfCurso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdf
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de software
 
#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOps
#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOps#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOps
#HablemosDeTestingDay - José Castillo: Estrategia de QA en un contexto de DevOps
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 
Software de tipo web
Software de tipo webSoftware de tipo web
Software de tipo web
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
pruebas de calidad.pdf
pruebas de calidad.pdfpruebas de calidad.pdf
pruebas de calidad.pdf
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1
 
Sesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxSesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptx
 

Más de Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxAlonso Caballero
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 

Más de Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Último

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 

Último (10)

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Webinar Gratuito: Guía de Pruebas de OWASP

  • 1. Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com Jueves 31 de Enero del 2019 WebinarGratuito Guía de Pruebas de OWASP
  • 2. Presentación Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals y Phishing Countermeasures. Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 16 años de experiencia y desde hace 12 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux. https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero https://www.facebook.com/alonsoreydes/ http://www.reydes.com https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
  • 3. Introducción La creación de la versión 4 de la Guía de pruebas de OWASP, tiene como propósito ser una guía estándar de facto para realizar pruebas de penetración contra aplicaciones web. La versión 4 de la guía de pruebas de OWASP, mejora la versión anterior de tres maneras. 1. Esta versión se integra con otros dos documentos de OWASP; la guía para desarrolladores, y la guía para revisión de código. 2. Todos los capítulos han sido mejorados y los casos de pruebas ampliados a 87, incluyendo la introducción de cuatro nuevos capítulos y controles. 3. Esta versión alienta a la comunidad a no aceptar simplemente los casos descritos en la guía. Recomienda integrar con otro software de prueba y diseñar casos de pruebas específicos. * OWASP Testing Guide v4: https://www.owasp.org/index.php/OWASP_Testing_Project Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 4. Proyecto de Pruebas de OWASP Este proyecto ha estado en desarrollo por muchos años. El propósito del proyecto es ayudar a las personas a entender el que, porque, cuando, donde, y el como de las pruebas a aplicaciones web. El proyecto entrega una completa estructura para pruebas, no meramente una lista de verificación o prescripción de problemas los cuales deben sera abarcados. Los lectores pueden utilizar esta estructura de trabajo como una plantilla para construir sus propios programas de pruebas, o para cualificar los procesos de otras personas. La guía de pruebas describe en detalle ya sea la estructura general de pruebas, y las técnicas requeridas para implementar el marco de trabajo en la practica. * Testing Guide Introduction: https://www.owasp.org/index.php/Testing_Guide_Introduction#The_OWASP_Testing_Project Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 5. Pruebas de Penetración Han sido una técnica comúnmente utilizada para evaluar la seguridad de las redes por muchos años. También se conoce como pruebas de caja negra o Hacking Ético. La prueba de penetración es el “arte” de probar una aplicación en funcionamiento de manera remota, para encontrar vulnerabilidades de seguridad, sin conocer el funcionamiento interno de la aplicación en si. Típicamente un equipo de prueba de penetración tendrá acceso hacia una aplicación, como si fuesen los usuarios. El profesional actúa como un atacante e intenta encontrar y explotar vulnerabilidades. En muchos casos al profesional se le proporcionará una cuenta válida en el sistema. * Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 6. Pruebas de Penetración (Cont.) Si bien las pruebas de penetración demuestran ser efectivas en la seguridad de las redes, la técnica no se traduce naturalmente hacia las aplicaciones. Cuando se realiza una prueba de penetración en redes y sistemas operativos, la mayoría del trabajo implica encontrar y explotar vulnerabilidades conocidas en tecnologías específicas. Como las aplicaciones web son casi exclusivamente hechas a medida, las pruebas de penetración en este campo son más parecidas a una investigación pura. Se han desarrollado herramientas para automatizar el proceso, pero dada la naturaleza de las aplicaciones web, su efectividad es usualmente baja. * Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 7. Estructura de Trabajo para Pruebas de OWASP Se describe una estructura típica de pruebas a desplegar en una organización: Fase 1: Antes de iniciar de desarrollo ● Fase 1.1: Definir un SDLC ● Fase 1.2: Revisar las políticas y estándares ● Fase 1.3: Desarrollar criterios de medidas y métricas y asegurar trazabilidad Fase 2: Durante la definición y diseño ● Fase 2.1: Revisión de requerimientos en seguridad ● Fase 2.2: Revisión del diseño y arquitectura ● Fase 2.3: Crear y revisar modelos UML ● Fase 2.4: Crear y revisar modelos de amenazas Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 8. Estructura de Trabajo para Pruebas de OWASP Fase 3: Durante el desarrollo ● Fase 3.1: Recorrer a través del código ● Fase 3.2: Revisión del código Fase 4: Durante el despliegue ● Fase 4.1: Pruebas de penetración contra la aplicación ● Fase 4.1: Pruebas de gestión de la configuración Fase 5: Mantenimiento y operaciones ● Fase 5.1: Realizar revisiones de gestión operacional ● Fase 5.2: Realizar verificaciones periódicas de bienestar ● Fase 5.3: Asegurar verificación de cambios Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 9. Un Típico Flujo de Trabajo para Probar SDLC * A Typical SDLC Testing Workflow: https://www.owasp.org/index.php/The_OWASP_Testing_Framework#A_Typical_SDLC_Testing_Workflow Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 10. Pruebas de Seguridad a Aplicaciones web Es un método para evaluar la seguridad de un sistema de cómputo o red, mediante una validación metodológica, y verificando la efectividad de los controles de seguridad en la aplicación. Una prueba de seguridad contra aplicaciones web se enfoca únicamente en evaluar la seguridad de una aplicación web. El proceso involucra análisis activo de la aplicación por debilidades, fallas técnicas, o vulnerabilidades. Cualquier inconveniente encontrado será presentado al propietario del sistema, junto con una evaluación del impacto, y una propuesta para mitigarlo o una solución técnica. * Testing: Introduction and objectives: https://www.owasp.org/index.php/Testing:_Introduction_and_objectives Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 11. Metodología de Pruebas de OWASP Las pruebas de seguridad nunca serán una ciencia exacta, donde se pueda definir una lista completa de todos los posibles inconvenientes a ser evaluados. De hecho, las pruebas de seguridad son únicamente una técnica apropiada para probar la seguridad de las aplicaciones web, bajo ciertas circunstancias. El objetivo del proyecto es recopilar todas las técnicas de pruebas posibles, explicar las técnicas, y mantener la guía actualizada. El método de prueba de seguridad contra aplicaciones web de OWASP, se basa en la perspectiva de caja negra. En donde el profesional no conoce nada o tiene poca información sobre la aplicación a ser evaluada. El modelo está constituido de; el profesional, herramientas y metodologías, y la aplicación. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 12. Lista de Verificación de Pruebas La siguiente es un resumen de la lista de controles a evaluar durante las pruebas. ● Captura de Información (Information Gathering) ● Pruebas de Gestión de las Configuración y Despliegue (Configuration and Deploy Management Testing) ● Pruebas de Gestión de Identidad (Identity Management Testing) ● Pruebas de Autenticación (Authentication Testing) ● Pruebas de Autorización (Authorization Testing) ● Pruebas de Gestión de la Sesión (Session Management Testing) ● Pruebas de Validación de Datos (Data Validation Testing) ● Manejo de Error (Error Handling) ● Criptografía (Cryptography) ● Pruebas de la Lógica de la Empresa (Business Logic Testing) ● Pruebas del Lago del Cliente (Client Side Testing) * Testing Checklist: https://www.owasp.org/index.php/Testing_Checklist Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 13. Captura de Información Probar por captura de información incluye los siguientes artículos: ● Realizar Descubrimiento en Motores de Búsqueda y Reconocimiento por Fuga de Información ● Obtener la Huella del Servidor Web ● Revisar Metaarchivos del Servidor Web por Exposición de Información ● Enumerar las Aplicaciones en el Servidor Web ● Revisar los Comentarios y Metadatos de la Página Web por Exposición de Información ● Identificar Puntos de Entrada a la Aplicación ● Mapear Rutas de Ejecución a través de la Aplicación ● Obtener la Huella del Framework de la Aplicación Web ● Obtener una Huella de la Aplicación Web ● Mapa de la Arquitectura de la Aplicación * Testing for Information Gathering: https://www.owasp.org/index.php/Testing_Information_Gathering Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 14. Curso Virtual Hacking Aplicaciones Web 2019 Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: reydes@gmail.com Sitio web: http://www.reydes.com Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 15. Demostraciones . Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
  • 16. Cursos Virtuales Disponibles en Video Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense Curso Virtual Hacking con Kali Linux http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux Curso Virtual OSINT - Open Source Intelligence http://www.reydes.com/d/?q=Curso_de_OSINT Curso Virtual Forense de Redes http://www.reydes.com/d/?q=Curso_Forense_de_Redes Y todos los cursos virtuales: http://www.reydes.com/d/?q=cursos
  • 17. Más Contenidos Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Videos de 44 webinars gratuitos http://www.reydes.com/d/?q=videos Diapositivas de los webinars gratuitos http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
  • 18. Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com Jueves 31 de Enero del 2019 WebinarGratuito Guía de Pruebas de OWASP