SlideShare una empresa de Scribd logo

Webinar Gratis OWASP WebScarab

Alonso Caballero
Alonso Caballero
Tecnología
1 de 11
Descargar para leer sin conexión
Webinar Gratuito OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014
¿Quién Soy? • Consultor e Instructor Independiente en Hacking Ético, Informática Forense y GNU/Linux. • Ex Integrante de RareGaZz y actual integrante de PeruSEC. • Ex Redactor en la Revista Linux+ DVD (ES). • • • Creador del II Reto Forense Digital Sudamericano - Chavín de Huantar 2012. Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. Más de 11 años de experiencia en el área. • @Alonso_ReYDeS • pe.linkedin.com/in/alonsocaballeroquezada/
¿Qué es OWASP WebScarab? WebScarab es un framework para analizar aplicaciones que se comunican utilizado los protocolos HTTP y HTTPS. Fue escrito en Java y es portátil a varias plataformas. WebScarab tiene varios modos de operación, implementados por plugins. En su forma de uso más común opera como un proxy de interceptación, lo cual permite modificar y revisar las solicitudes creadas por el navegador antes de ser enviadas al servidor, además de permitir modificar y revisar las respuesta devueltas desde el servidor antes de ser recibidas por el navegador. WebScarab es capaz de interceptar una comunicación HTTP y HTTPS. Pudiendo revisar las conversaciones (solicitudes y respuestas) que han pasado a través de WebScarab * https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Características Los plugins incluidos en WebScarab son los siguientes: • • • • Fragmentos: Extrae Scripts y Comentarios HTML desde páginas HTML cuando son vistos mediante el proxy, u otros plugins. Proxy: Observa el tráfico entre el navegador y el servidor web. Es capaz de observar tráfico HTTP y tráfico cifrado HTTP, negociando una conexión SSL entre WebScarab y el navegador y permite que pase a través de este un flujo cifrado. Interceptación Manual: Permite al usuario modificar solicitudes y respuestas HTTP y HTTPS al vuelo, antes de llegar al servidor o navegador. Beanshell: Permite la ejecución de operaciones arbitrariamente complejas sobre solicitudes y respuestas. Todo lo que pueda ser expresado en Java puede ser ejecutado.
Características (Cont.) • • • • • Revelar campos ocultos: Algunas veces es más fácil modificar un campo oculto en una página por si misma, que interceptar la solicitud después de que ha sido enviadas. Este plugin simplemente cambia todos los campos ocultos encontrados en páginas HTML a campos de texto, haciéndolos visibles y editables. Simulador de Ancho de Banda: Permite al usuario emular una red lenta, para poder observar como el sitio web se comporta cuando es accedido, como por ejemplo con un modem. Spider: Identifica nuevas URLs en el sitio objetivo, y las recupera. Solicitud Manual: Permite editar y repetir un solicitud previa, o crear solicitudes completamente nuevas. Análisis de IDs de Sesión: Recolecta y analiza un número de cookies para determinar visualmente el grado de aleatoriedad y no predicibilidad.
Características (Cont.) • • • • Scriptid: Se puede usar BeanShell para escribir un script para crear solicitudes y traerlas desde el servidor. El script puede además realizar algún análisis sobre las respuestas, con todo el poder del modelo de objetos de solicitud y respuesta para simplificar las cosas. Fuzzer de Parámetros: Realizar substitución automática de valores de parámetros que son probables de exponer validación incompleta de parámetros, conduciendo a vulnerabilidades como XSS o SQLi. Buscar: Permite al usuario crear expresiones arbitrarias BeanShell para identificar conversaciones que deben ser mostradas en la lista. Comparar: Calcula la distancia de edición entre el cuerpo de la respuesta de la conversación observada, y la conversación seleccionada como referencia. La distancia de edición es “el número de ediciones requeridas para transformar un documento en otro”. Por razones de desempeño, las ediciones son calculadas utilizando tokens de palabras, en lugar de byte por byte.
Características (Cont.) • • • SOAP: (Simple Object Access Protocol) Este plugin interpreta WSDL (Web Service Definition Language) y presenta varias funciones además de los parámetros requeridos, permitiendo editarlas antes de ser enviados al servidor. Se sugiere utilizar en su lugar SOAPUI. Extensiones: Automatiza las pruebas por archivos que son dejados por descuido en el directorio raíz del servidor web (.bak). Las verificaciones son realizadas para archivos y directorios. Las extensiones para archivos y directorios pueden ser editadas por el usuario. XSS/CRFL: Plugin de análisis pasivo que busca por datos controlados por el usuario en las cabeceras de respuesta HTTP y el cuerpo para identificar vulnerabilidades de inyección CRLF (Carriage Return and Line Feed) (HTTP response splitting) y XSS (Cross Site Scripting). URL: http://www.soapui.org/
Curso Virtual de Hacking Aplicaciones Web Días: Grupo 1: Sábados 1, 8, 15 y 22 de Febrero del 2014 Grupo 2: Domingos 2, 9, 16 y 23 de Febrero del 2014 Horario: De 9:00am a 12:30m (UTC -05:00) Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web caballero.alonso@gmail.com @Alonso_ReYDeS http://pe.linkedin.com/in/alonsocaballeroquezada/ ReYDeS http://www.reydes.com
Demostraciones A continuación se presentan algunas demostraciones prácticas utilizando OWASP WebScarab en Samurai-WTF
Más Material Los invito a visualizar los 17 Webinars Gratuitos que he dictado hasta el momento, sobre temas de Hacking Ético, Pruebas de Penetración, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Pueden obtener todas las diapositivas utilizadas en los Webinars Gratuitos desde la siguiente página: http://www.reydes.com/d/?q=node/3 Pueden obtener todos los artículos y documentos que he publicado. http://www.reydes.com/d/?q=node/2 Mi blog personal: http://www.reydes.com/d/?q=blog/1
¡Muchas Gracias! OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014

Recomendados

Documertar APIs - Meetup.js
Documertar APIs - Meetup.jsDocumertar APIs - Meetup.js
Documertar APIs - Meetup.jsEzequiel Rial
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
ProxyPAPI-v05r01
ProxyPAPI-v05r01ProxyPAPI-v05r01
ProxyPAPI-v05r01mrzeta
 
Lenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuarioLenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuariolinhos315
 
Semana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbSemana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbRichard Eliseo Mendoza Gafaro
 
Servidores web apache
Servidores web apacheServidores web apache
Servidores web apacheDavid
 
Desarrollo Subversivo
Desarrollo SubversivoDesarrollo Subversivo
Desarrollo SubversivoAriel Graneros
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 

Recomendados

Documertar APIs - Meetup.js
Documertar APIs - Meetup.jsDocumertar APIs - Meetup.js
Documertar APIs - Meetup.jsEzequiel Rial
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
ProxyPAPI-v05r01
ProxyPAPI-v05r01ProxyPAPI-v05r01
ProxyPAPI-v05r01mrzeta
 
Lenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuarioLenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuariolinhos315
 
Semana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbSemana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbRichard Eliseo Mendoza Gafaro
 
Servidores web apache
Servidores web apacheServidores web apache
Servidores web apacheDavid
 
Desarrollo Subversivo
Desarrollo SubversivoDesarrollo Subversivo
Desarrollo SubversivoAriel Graneros
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 
Linux y-windows
Linux y-windowsLinux y-windows
Linux y-windowsPacoVM1
 
Apli t1 ejr
Apli t1 ejrApli t1 ejr
Apli t1 ejrgarciadebora
 
Servidor http(web)
Servidor http(web)Servidor http(web)
Servidor http(web)Luis Enrique Hernandez Anibal
 
software APACHE.
software APACHE.software APACHE.
software APACHE.joseluisml001
 
Unidad 2
Unidad 2Unidad 2
Unidad 2Norma Alicia
 
Tecnologías web.pptx
Tecnologías web.pptxTecnologías web.pptx
Tecnologías web.pptxGabrielCarbas
 
Web services1
Web services1Web services1
Web services1ANDRES FELIPE CRUZ ERAZO
 
Arquitectura de referencia corregido
Arquitectura de referencia corregidoArquitectura de referencia corregido
Arquitectura de referencia corregidoJose Torres Gonzales
 
Unidad_2
Unidad_2Unidad_2
Unidad_2Norma Alicia
 
Servidor web
Servidor webServidor web
Servidor webAndres Luzon
 
Introducción al desarrollo web moderno
Introducción al desarrollo web modernoIntroducción al desarrollo web moderno
Introducción al desarrollo web modernoSebastián Rocco
 
Base de datos ii apache
Base de datos ii apacheBase de datos ii apache
Base de datos ii apacheGrisel Fernandez
 
Servidor http
Servidor httpServidor http
Servidor httpKaarla Roodriguez DeSaucedo
 
Miranda yesenia tarea3
Miranda yesenia tarea3Miranda yesenia tarea3
Miranda yesenia tarea3Yesenia Miranda Cazas
 
Desarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDesarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDaniel Cruz
 
Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016Erick Paul Lozada Peñarreta
 
APACHE
APACHEAPACHE
APACHEneftaly quijano tun
 
Curso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología JavaCurso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología Javaalvaro alcocer sotil
 
ASP.NET MVC
ASP.NET MVCASP.NET MVC
ASP.NET MVCRodolfo Finochietti
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAHelmilpa
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 

Más contenido relacionado

Similar a Webinar Gratis OWASP WebScarab

Linux y-windows
Linux y-windowsLinux y-windows
Linux y-windowsPacoVM1
 
Tecnologías web.pptx
Tecnologías web.pptxTecnologías web.pptx
Tecnologías web.pptxGabrielCarbas
 
Arquitectura de referencia corregido
Arquitectura de referencia corregidoArquitectura de referencia corregido
Arquitectura de referencia corregidoJose Torres Gonzales
 
Introducción al desarrollo web moderno
Introducción al desarrollo web modernoIntroducción al desarrollo web moderno
Introducción al desarrollo web modernoSebastián Rocco
 
Desarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDesarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDaniel Cruz
 
Curso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología JavaCurso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología Javaalvaro alcocer sotil
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAHelmilpa
 

Similar a Webinar Gratis OWASP WebScarab (20)

Linux y-windows
Linux y-windowsLinux y-windows
Linux y-windows
 
Apli t1 ejr
Apli t1 ejrApli t1 ejr
Apli t1 ejr
 
Servidor http(web)
Servidor http(web)Servidor http(web)
Servidor http(web)
 
software APACHE.
software APACHE.software APACHE.
software APACHE.
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 
Tecnologías web.pptx
Tecnologías web.pptxTecnologías web.pptx
Tecnologías web.pptx
 
Web services1
Web services1Web services1
Web services1
 
Arquitectura de referencia corregido
Arquitectura de referencia corregidoArquitectura de referencia corregido
Arquitectura de referencia corregido
 
Unidad_2
Unidad_2Unidad_2
Unidad_2
 
Servidor web
Servidor webServidor web
Servidor web
 
Introducción al desarrollo web moderno
Introducción al desarrollo web modernoIntroducción al desarrollo web moderno
Introducción al desarrollo web moderno
 
Base de datos ii apache
Base de datos ii apacheBase de datos ii apache
Base de datos ii apache
 
Servidor http
Servidor httpServidor http
Servidor http
 
Miranda yesenia tarea3
Miranda yesenia tarea3Miranda yesenia tarea3
Miranda yesenia tarea3
 
Desarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDesarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nube
 
Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016
 
APACHE
APACHEAPACHE
APACHE
 
Curso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología JavaCurso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología Java
 
ASP.NET MVC
ASP.NET MVCASP.NET MVC
ASP.NET MVC
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVA
 

Más de Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxAlonso Caballero
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 

Más de Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Último

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 

Último (20)

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 

Webinar Gratis OWASP WebScarab

  • 1. Webinar Gratuito OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014
  • 2. ¿Quién Soy? • Consultor e Instructor Independiente en Hacking Ético, Informática Forense y GNU/Linux. • Ex Integrante de RareGaZz y actual integrante de PeruSEC. • Ex Redactor en la Revista Linux+ DVD (ES). • • • Creador del II Reto Forense Digital Sudamericano - Chavín de Huantar 2012. Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. Más de 11 años de experiencia en el área. • @Alonso_ReYDeS • pe.linkedin.com/in/alonsocaballeroquezada/
  • 3. ¿Qué es OWASP WebScarab? WebScarab es un framework para analizar aplicaciones que se comunican utilizado los protocolos HTTP y HTTPS. Fue escrito en Java y es portátil a varias plataformas. WebScarab tiene varios modos de operación, implementados por plugins. En su forma de uso más común opera como un proxy de interceptación, lo cual permite modificar y revisar las solicitudes creadas por el navegador antes de ser enviadas al servidor, además de permitir modificar y revisar las respuesta devueltas desde el servidor antes de ser recibidas por el navegador. WebScarab es capaz de interceptar una comunicación HTTP y HTTPS. Pudiendo revisar las conversaciones (solicitudes y respuestas) que han pasado a través de WebScarab * https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
  • 4. Características Los plugins incluidos en WebScarab son los siguientes: • • • • Fragmentos: Extrae Scripts y Comentarios HTML desde páginas HTML cuando son vistos mediante el proxy, u otros plugins. Proxy: Observa el tráfico entre el navegador y el servidor web. Es capaz de observar tráfico HTTP y tráfico cifrado HTTP, negociando una conexión SSL entre WebScarab y el navegador y permite que pase a través de este un flujo cifrado. Interceptación Manual: Permite al usuario modificar solicitudes y respuestas HTTP y HTTPS al vuelo, antes de llegar al servidor o navegador. Beanshell: Permite la ejecución de operaciones arbitrariamente complejas sobre solicitudes y respuestas. Todo lo que pueda ser expresado en Java puede ser ejecutado.
  • 5. Características (Cont.) • • • • • Revelar campos ocultos: Algunas veces es más fácil modificar un campo oculto en una página por si misma, que interceptar la solicitud después de que ha sido enviadas. Este plugin simplemente cambia todos los campos ocultos encontrados en páginas HTML a campos de texto, haciéndolos visibles y editables. Simulador de Ancho de Banda: Permite al usuario emular una red lenta, para poder observar como el sitio web se comporta cuando es accedido, como por ejemplo con un modem. Spider: Identifica nuevas URLs en el sitio objetivo, y las recupera. Solicitud Manual: Permite editar y repetir un solicitud previa, o crear solicitudes completamente nuevas. Análisis de IDs de Sesión: Recolecta y analiza un número de cookies para determinar visualmente el grado de aleatoriedad y no predicibilidad.
  • 6. Características (Cont.) • • • • Scriptid: Se puede usar BeanShell para escribir un script para crear solicitudes y traerlas desde el servidor. El script puede además realizar algún análisis sobre las respuestas, con todo el poder del modelo de objetos de solicitud y respuesta para simplificar las cosas. Fuzzer de Parámetros: Realizar substitución automática de valores de parámetros que son probables de exponer validación incompleta de parámetros, conduciendo a vulnerabilidades como XSS o SQLi. Buscar: Permite al usuario crear expresiones arbitrarias BeanShell para identificar conversaciones que deben ser mostradas en la lista. Comparar: Calcula la distancia de edición entre el cuerpo de la respuesta de la conversación observada, y la conversación seleccionada como referencia. La distancia de edición es “el número de ediciones requeridas para transformar un documento en otro”. Por razones de desempeño, las ediciones son calculadas utilizando tokens de palabras, en lugar de byte por byte.
  • 7. Características (Cont.) • • • SOAP: (Simple Object Access Protocol) Este plugin interpreta WSDL (Web Service Definition Language) y presenta varias funciones además de los parámetros requeridos, permitiendo editarlas antes de ser enviados al servidor. Se sugiere utilizar en su lugar SOAPUI. Extensiones: Automatiza las pruebas por archivos que son dejados por descuido en el directorio raíz del servidor web (.bak). Las verificaciones son realizadas para archivos y directorios. Las extensiones para archivos y directorios pueden ser editadas por el usuario. XSS/CRFL: Plugin de análisis pasivo que busca por datos controlados por el usuario en las cabeceras de respuesta HTTP y el cuerpo para identificar vulnerabilidades de inyección CRLF (Carriage Return and Line Feed) (HTTP response splitting) y XSS (Cross Site Scripting). URL: http://www.soapui.org/
  • 8. Curso Virtual de Hacking Aplicaciones Web Días: Grupo 1: Sábados 1, 8, 15 y 22 de Febrero del 2014 Grupo 2: Domingos 2, 9, 16 y 23 de Febrero del 2014 Horario: De 9:00am a 12:30m (UTC -05:00) Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web caballero.alonso@gmail.com @Alonso_ReYDeS http://pe.linkedin.com/in/alonsocaballeroquezada/ ReYDeS http://www.reydes.com
  • 9. Demostraciones A continuación se presentan algunas demostraciones prácticas utilizando OWASP WebScarab en Samurai-WTF
  • 10. Más Material Los invito a visualizar los 17 Webinars Gratuitos que he dictado hasta el momento, sobre temas de Hacking Ético, Pruebas de Penetración, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Pueden obtener todas las diapositivas utilizadas en los Webinars Gratuitos desde la siguiente página: http://www.reydes.com/d/?q=node/3 Pueden obtener todos los artículos y documentos que he publicado. http://www.reydes.com/d/?q=node/2 Mi blog personal: http://www.reydes.com/d/?q=blog/1
  • 11. ¡Muchas Gracias! OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014