El documento presenta una introducción a viejas vulnerabilidades como las incluidas en el OWASP Top 10 de 2013 (inyecciones, autenticación rota, XSS) y nuevas vulnerabilidades relacionadas con HTML5. Luego profundiza en cada vulnerabilidad del OWASP Top 10, mostrando ejemplos prácticos de inyecciones SQL, XSS, CSRF y más. Finalmente, concluye con demostraciones de ataques emergentes que aprovechan características de HTML5 sin necesidad de scripts.
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyAlonso Caballero
Este webinar expone detalladamente el proceso de utilizar la distribución Kali Linux; orientada a realizar pruebas de penetración y auditorías de seguridad; y específicamente la herramienta OWASP Zed Attack Proxy (ZAP), para realizar un spidering automático y una búsqueda de directorios utilizando fuerza bruta; procesos correspondientes a la etapa del mapeo de una aplicación web, con el propósito de evaluar su seguridad.
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
Este webinar expone detalladamente el procedimiento de como utilizando la distribución Kali Linux, orientada a realizar pruebas de penetración y auditorías de seguridad; y puntualmente la herramienta OWASP Zed Attack Proxy (ZAP), es factible encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones.
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyAlonso Caballero
Este webinar expone detalladamente el proceso de utilizar la distribución Kali Linux; orientada a realizar pruebas de penetración y auditorías de seguridad; y específicamente la herramienta OWASP Zed Attack Proxy (ZAP), para realizar un spidering automático y una búsqueda de directorios utilizando fuerza bruta; procesos correspondientes a la etapa del mapeo de una aplicación web, con el propósito de evaluar su seguridad.
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
Este webinar expone detalladamente el procedimiento de como utilizando la distribución Kali Linux, orientada a realizar pruebas de penetración y auditorías de seguridad; y puntualmente la herramienta OWASP Zed Attack Proxy (ZAP), es factible encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
PPT de seminario de Seguridad con PHP, dictado el 18 de Junio de 2013 por Nazareno Lorenzo.
Incluye:
SQL Injection
XSS
File Uploads
LFI/RFI
CSRF
Hashing y Encriptación
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Practical information about involving the Library in KM Presented by Jaye Lapachet and Camille Reynolds. Webinar presented on 9/26/12 and sponsored by the SLA Legal Division with generous support by Wolters Kluwer.
Presentación de Juan carlos Peña, de Blue Coat, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
PPT de seminario de Seguridad con PHP, dictado el 18 de Junio de 2013 por Nazareno Lorenzo.
Incluye:
SQL Injection
XSS
File Uploads
LFI/RFI
CSRF
Hashing y Encriptación
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Practical information about involving the Library in KM Presented by Jaye Lapachet and Camille Reynolds. Webinar presented on 9/26/12 and sponsored by the SLA Legal Division with generous support by Wolters Kluwer.
Presentación de Juan carlos Peña, de Blue Coat, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
My presentation at Scrum Practitioners workshop, Hyderabad Aug 2012.
This presentation spoke about the signals, measures and trends the team, scrum master should look for their team future.
Representantes de la empresa cordobesa "Proxy Consulting" (Miguel Ángel Arroyo y Carlos García) nos ofrecen un instructivo e intesantísimo taller sobre hacking ético.
IES Gran Capitán. Sysmana04.
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Cuanta más información almacenamos en Alfresco, más necesidades de protegerla tenemos. En este webinar haremos un repaso sobre los consejos de seguridad más importantes a tener en cuenta en Alfresco, tanto a nivel de aplicación como a nivel de servidor, red e intrusiones.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
Riesgos de Ciberseguridad en WORDPRESS en el 1er webinar de @DiviCon México. Se proporciona una introducción al Cyber Kill Chain aplicado a Wordpress y se realizan recomendaciones para la detección prevención y respuesta ante un incidente de seguridad en esta aplicación.
OWASP Zed Attack Proxy (ZAP) es una herramienta integral, la cual se utiliza para realizar pruebas de penetración y encontrar vulnerabilidades en aplicaciones web. Zed Attack Proxy proporciona escaners automáticos, como también un conjunto de herramientas las cuales permiten encontrar de manera manual, vulnerabilidades de seguridad.
Manual de prieros pasos para utiliar este SO que es la evolucion del famoso backtrack, Kali linux es SO diseñado para las auditoorias en seguridad informatica
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad ...Nextel S.A.
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad Industrial
Ya puedes ver las ponencias completas de la #jornadanextelxvi sobre la #Gestión del #Riesgo #riskmanagement http://www.nextel.es/jornadanextelxvi
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, vi...Nextel S.A.
Evaluación de riesgos asociados al puesto de trabajo: empleados, externos, visitantes, ¿BYOD?
Ya puedes ver las ponencias completas de la #jornadanextelxvi sobre la #Gestión del #Riesgo #riskmanagement http://www.nextel.es/jornadanextelxvi
Gestiona el riesgo de las grandes amenazasNextel S.A.
Gestiona el riesgo de las grandes amenazas
Ya puedes ver las ponencias completas de la #jornadanextelxvi sobre la #Gestión del #Riesgo #riskmanagement http://www.nextel.es/jornadanextelxvi
Linked data: mayor granularidad, mayor control de accesoNextel S.A.
Linked data: mayor granularidad, mayor control de acceso
Ya puedes ver las ponencias completas de la #jornadanextelxvi sobre la #Gestión del #Riesgo #riskmanagement http://www.nextel.es/jornadanextelxvi
Detección y mitigación de amenazas con Check PointNextel S.A.
Presentación de Ignacio Berrozpe, de Check Point, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Seguridad: sembrando confianza en el cloudNextel S.A.
Presentación de Oscar Lopez, de Nextel S.A., durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Ahorrar invirtiendo, los beneficios de una buena gestión TICNextel S.A.
Presentación de Joseba Enjuto, de Nextel S.A., durante la XV Jornada de Seguridad TI de Nextel S.A. - "Seguridad TI y ahorro de costes, ¿es posible?" en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Presentación de Jaime Nebrera de Eneo Tecnología S.L., durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
Gestión automatizada de la Continuidad de Negocio con GlobalContinuityNextel S.A.
Presentación de Alejandro Delgado, Director de operaciones de Audisec, durante el "Desayuno Tecnológico sobre Continuidad de Negocio" organizado por Audisec y Nextel S.A. el 15 de mayo de 2013 en el Parque Científico y Tecnológico de Bizkaia
Caso práctico: Implementación de GlobalSuite en un entorno heterogéneo de gra...Nextel S.A.
Presentación de Alejandro Delgado, Director de operaciones de Audisec, durante el "Desayuno Tecnológico sobre Continuidad de Negocio" organizado por Audisec y Nextel S.A. el 15 de mayo de 2013 en el Parque Científico y Tecnológico de Bizkaia
Presentación de Joseba Enjuto, Responsable de Negocio de Consultoría de Nextel S.A., durante el "Desayuno Tecnológico sobre la Continuidad de Negocio" de Audisec y Nextel S.A. el 15 de mayo de 2013 en el Parque Científico y Tecnológico de Bizkaia.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
2. ¿De qué vamos a hablar?
● Oldies goldies: OWASP Top 10, 2013:
● A1 - Injections
● A2 - Broken Authentication and Session Management
● A3 - Cross-Site Scripting (XSS)
● …
● Nuevas vulnerabilidades en torno a HTML5.
3. OWASP Top 10, 2013
https://www.owasp.org/index.php/Top_10_2013-Top_10
4. OWASP
The Open Web Application Security Project
https://www.owasp.org/index.php/Main_Page
5. A1 - Injection
SQL, OS, and LDAP injections
https://www.owasp.org/index.php/Top_10_2013-A1
6. SQL Injection
Por una comilla de nada...
SELECT * FROM users
WHERE user = '" + username + "' and
password = '" + md5(password) + "';
Username: admin' OR '1'='1
Password: whatever
SELECT * FROM users
WHERE user = 'admin' OR '1'='1' and
password = '" + md5('whatever') + "';
7. SQL Injection
Si no hay mensajes de error, Blind SQL Injection
● Si no hay error, se muestra la página normal.
● http://myblog.com/post.asp?id=33 AND 1=1
SELECT * FROM posts WHERE id = 33 AND 1=1
● Si hay error, se muestra otra página.
● http://myblog.com/post.asp?id=33 AND 1=0
SELECT * FROM posts WHERE id = 33 AND 1=0
● Google Hacking:
– inurl:"php?id="
– inurl:"asp?id="
11. A3 - Cross-Site Scripting (XSS)
Allows attackers to execute scripts in the victim’s browser
https://www.owasp.org/index.php/Top_10_2013-A3
12. Cross-Site Scripting (XSS)
Diferentes tipos y alcances
● Tipo 0: Basado en DOM.
– Una página maliciosa abre una página local con permisos de Zona
Local y ejecuta código con esas credenciales.
– Típicamente en phising o SPAM.
● Tipo 1: No persistente.
– El más común, necesita Ingeniería Social para explotarse.
– Típicamente en webs de búsquedas, se muestra a su vez la cadena
consultada (si tiene código, será ejecutado).
● Tipo 2: Persistente.
– El código está almacenado en una BD, fichero, o similar.
– No requiere mucha Ingeniería Social para que la víctima lo ejecute.
– Típicamente en foros o similares.
13. A4 - Insecure Direct Object References
References to an internal implementation object, such as a file, directory, or database key
https://www.owasp.org/index.php/Top_10_2013-A4
17. A6 - Sensitive Data Exposure
Sensitive data deserves extra protection such as encryption
https://www.owasp.org/index.php/Top_10_2013-A6
18. Seguridad a través de la oscuridad
robots.txt
http://www.casareal.es/robots.txt
User-agent: *
Disallow:
Disallow: /_*/
Disallow: /ES/FamiliaReal/Urdangarin/
Disallow: /CA/FamiliaReal/Urdangarin/
Disallow: /EU/FamiliaReal/Urdangarin/
Disallow: /GL/FamiliaReal/Urdangarin/
Disallow: /VA/FamiliaReal/Urdangarin/
Disallow: /EN/FamiliaReal/Urdangarin/
Sitemap: http://www.casareal.es/sitemap.xml
19. Seguridad a través de la oscuridad
Meta-datos: Fear the FOCA!
http://www.informatica64.com/foca.aspx
20. A7 - Missing Function Level Access Control
Attackers are able to forge requests in order to access unauthorized functionality
https://www.owasp.org/index.php/Top_10_2013-A7
21. Proteger el cron en Moodle
Similar para v1.9, 2.x, etc.
http://docs.moodle.org/19/en/Cron
22. A8 - Cross-Site Request Forgery (CSRF)
Forces a logged-on victim’s browser to send a forged HTTP request
https://www.owasp.org/index.php/Top_10_2013-A8
23. Cross-Site Request Forgery (CSRF)
XSRF o "sea-surf"
● Explota la confianza que tiene un sitio en el
navegador de un cliente autenticado.
– El servidor: acepta las credenciales de la sesión de
usuario almacenada en el navegador.
– El cliente: accede a una web que fuerza a su
navegador a realizar acciones no deseadas en un sitio
en el que previamente se ha autenticado.
● Contramedida: tokens específicos en cada
formulario.
24. A9 - Using Components with Known Vulnerabilities
Vulnerable components, such as libraries, frameworks, and other software modules
https://www.owasp.org/index.php/Top_10_2013-A9
26. A10 - Unvalidated Redirects and Forwards
Attackers can redirect victims to phishing or malware sites
https://www.owasp.org/index.php/Top_10_2013-A10
41. Referencias
● OWASP: The Open Web Application Security Project.
● El lado del mal, retos hacking, por Chema Alonso.
● Fear the FOCA! Informática64.
● IE/Firefox Redirection Issue – FB Oauth2 Bypass – BugCrowd, por
Soroush Dalili.
● HTML5 Top 10 Threats Stealth Attacks and Silent Exploits, Shreeraj Shah.
● HTML5 security.
● Scriptless Attacks: Stealing the pie without touching the sill, por Mario
Heiderich, Felix Schuster y Marcus Niemietz.
● The Exploit Database.
42. Todas las imágenes son propiedad de
sus respectivos dueños, el resto del
contenido está licenciado bajo
Creative Commons by-sa 3.0
http://www.zerodayclothing.com, OWASP.org, Microsoft, Exploit-db.com, Informatica64,
http://www.flickr.com/photos/ivanlian/3331017290/sizes/l/in/photostream/
http://www.flickr.com/photos/samout3/3411358304/sizes/l/in/photostream/
http://www.flickr.com/photos/ndanger/9731511/sizes/l/in/photostream/
http://www.flickr.com/photos/marcophoto/6264497575/sizes/l/in/photostream/
etc.