SlideShare una empresa de Scribd logo

Analisis Aplicaciones Moviles con OWASP

Enrique Gustavo Dutra
Enrique Gustavo Dutra

Analizar problemas de seguridad de aplicaciones moviles y como con Testing e Infraestructura podemos protegerlas

Tecnología
1 de 31
Descargar para leer sin conexión
Secure design of applications for mobile devices. Enrique G. Dutra
Punto Net Soluciones SRL © 2016 Enrique Gustavo Dutra  Socio Gerente de Punto Net Soluciones SRL  MVP desde 2006, actualmente MVP Cloud and Datacenter Management  32 años de experiencia en Seguridad de la Información/ Informática.  Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL.  Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.  Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103.  Instructor en CPCIPC de la ESAPI.  Disertante en eventos en LATAM.
Punto Net Soluciones SRL © 2016 Agenda  Problemática actual  Metodología de evaluación de software  OWASP ◦ Metodología. ◦ Análisis estático vs dinámico. ◦ Herramientas y soluciones.  Infraestructura al rescate.
Punto Net Soluciones SRL © 2013 Situación actual Exposición de los servicios y datos a Internet.
Punto Net Soluciones SRL © 2016 ¿Qué ocurre hoy en Internet?
Punto Net Soluciones SRL © 2016 Plataformas inseguras https://raidforums.com/
Copyright Punto Net Soluciones SRL © - 2012 Juguemos…. In June 2016, a data breach allegedly originating from the social website Badoo was found to be circulating amongst traders. Likely obtained several years earlier, the data contained 112 million unique email addresses with personal data including names, birthdates and passwords stored as MD5 hashes.
Punto Net Soluciones SRL © 2016 Problemáticas… ✓ Framework desarrollo instalado en producción. ✓ Ausencia de ambientes desarrollo / testing. ✓ Ausencia de validaciones en formularios Web. ✓ Fallas en validación/auntenticación. ✓ Software con ”hardcode”. ✓ Ausencia de conexión cifradas. ✓ Configuración Web permite SQL Injection. ✓ Usuarios de prueba en producción. ✓ Base de datos sin protección o semilla. ✓ Datos sensibles en base de datos : ✓ Ley 25326 Rep. Arg., ✓ HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓ PCI-DSS, ✓ Otros.
Punto Net Soluciones SRL © 2016 Ejemplos…
Punto Net Soluciones SRL © 2013 Introducción a OWASP Open Web Application Security Project
Punto Net Soluciones SRL © 2016 OWASP ✓Promueve el desarrollo de software seguro ✓ Orientada a la prestación de servicios orientados a la Web. ✓Se centra principalmente en el "back-end" mas que en cuestiones de diseño web. ✓Un foro abierto para el debate. ✓ Un recurso gratuito para cualquier equipo de desarrollo de software. https://www.owasp.org
Punto Net Soluciones SRL © 2016 OWASP Top 10 ✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP. ✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
Punto Net Soluciones SRL © 2016 OWASP ✓ Materiales de Educación ◦ OWASP Top 10 ◦ Guía de Desarrollo OWASP ◦ Guía de Testing OWASP ◦ Guía OWASP para aplicaciones Web Seguras ✓ Software ◦ WebGoat ◦ WebScarab ◦ ESAPI ◦ ZAP ✓ Capítulos Locales ◦ Comunidades interesadas en Seguridad de Aplicaciones
Punto Net Soluciones SRL © 2016 Maduración desde el 2004
Punto Net Soluciones SRL © 2016 Injection Ejemplo: (demo) 1) Acceder sitio http://demo.testfire.net/ 2) Ingresar usuario admin o jsmith 3) Password ' or '1'='1 4) Ingresar usuario ' or '1'='1 5) Password ' or '1'='1
Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) Ejemplo: (demo) 1) Ingrese a demo.testfire.net 2) En Search escriba : <h1><marquee> Bienvenidos a vOpen UY </marquee></h1> 3) Presione el botón GO. 4) Copie el link de la URL en https://bitly.com/. 5) Debe obtener el link https://bit.ly/31BDEc3 6) Enviar por correo.
Punto Net Soluciones SRL © 2013 Más Vulnerable Publicando servicios con aplicaciones móviles
Punto Net Soluciones SRL © 2016 Desarrollo inseguro  75% de las apps móviles no pasaría pruebas básicas de seguridad.  Controles de seguridad quedan excluidos del proceso de diseño.  En entornos de desarrollo se deben validar las aplicaciones.  Del 100% testeado, 99.98% tenían problemas de seguridad.
Punto Net Soluciones SRL © 2016 Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Area Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía
Punto Net Soluciones SRL © 2016 Análisis estático
Punto Net Soluciones SRL © 2016 Análisis dinámico
Punto Net Soluciones SRL © 2016 ¿Cómo testear?  No hay presupuesto no es una excusa.  OWASP provee metodología de evaluación. VER PLANILLA.  Uso de herramientas Open-Source: ◦ MobSF ◦ Qark ◦ Mara
Punto Net Soluciones SRL © 2016 MobSF - DEMO  MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX). ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad
Punto Net Soluciones SRL © 2016 Mara Framework  Es un marco de análisis e ingeniería inversa de aplicaciones móviles.  Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.
Punto Net Soluciones SRL © 2016 Mara Framework  Ejecutar el comando . ◦ /mara.sh -s <aplicacionapk>.apk  Resultados en ◦ /MARA_Framework/data/APK.APK/Analysis
Punto Net Soluciones SRL © 2016 QARK  Quick Android Review Kit  Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.  QARK educa a los desarrolladores. Ejecutar el comando qark --apk <aplicacionapk>.apk
Punto Net Soluciones SRL © 2016 Links útiles  https://github.com/ashishb/android- security-awesome  https://www.owasp.org
Punto Net Soluciones SRL © 2013 Código Fuente no puede modificarse Resolver con Infraestructura
Punto Net Soluciones SRL © 2016 WAF ✓ SQL injection ✓ Cross site scripting ✓ Common attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack ✓ HTTP protocol violations ✓ HTTP protocol anomalies ✓ Bots, crawlers, and scanners ✓ Common application misconfigurations (e.g. Apache, IIS, etc.) ✓ HTTP Denial of Service Azure Web Application Firewall (WAF) OWASP ModSecurity Core Rule Set (CRS) OWASP core rule sets
Punto Net Soluciones SRL © 2016 WAF
¡Gracias! Blog https://seguridadit.blogspot.com/ Linkedin /in/enriquedutra/ Twitter /egdutra Mail edutra@puntonetsoluciones.com.ar

Recomendados

ANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTING
ANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTINGANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTING
ANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTING
Editor IJMTER
 
Proyecto Educativo Robotica
Proyecto Educativo RoboticaProyecto Educativo Robotica
Proyecto Educativo Robotica
roboticaeducativacr
 
Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...
Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...
Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...
EduSkills OECD
 
Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...
Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...
Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...
Juan Carlos Gonzalez
 
ensayo sobre las tic tac
ensayo sobre las tic tac ensayo sobre las tic tac
ensayo sobre las tic tac
gabrielacastillojara
 
INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL
INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL
INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL Kelly Jaramillo
 
La importancia de las tic en la educacion superior revista dayani carolina mu...
La importancia de las tic en la educacion superior revista dayani carolina mu...La importancia de las tic en la educacion superior revista dayani carolina mu...
La importancia de las tic en la educacion superior revista dayani carolina mu...
Dayani Muñoz
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting
 

Recomendados

ANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTING
ANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTINGANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTING
ANALYSIS OF SOFTWARE SECURITY TESTING TECHNIQUES IN CLOUD COMPUTING
Editor IJMTER
 
Proyecto Educativo Robotica
Proyecto Educativo RoboticaProyecto Educativo Robotica
Proyecto Educativo Robotica
roboticaeducativacr
 
Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...
Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...
Building Future Ready VET systems - EU OECD webinar, 26 October 2023 - Malgor...
EduSkills OECD
 
Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...
Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...
Collab365 - Como hacer de todo con PowerShell en SharePoint (OnPremises y On...
Juan Carlos Gonzalez
 
ensayo sobre las tic tac
ensayo sobre las tic tac ensayo sobre las tic tac
ensayo sobre las tic tac
gabrielacastillojara
 
INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL
INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL
INFORMÁTICA APLICADA AL DESARROLLO HUMANO Y SOCIAL Kelly Jaramillo
 
La importancia de las tic en la educacion superior revista dayani carolina mu...
La importancia de las tic en la educacion superior revista dayani carolina mu...La importancia de las tic en la educacion superior revista dayani carolina mu...
La importancia de las tic en la educacion superior revista dayani carolina mu...
Dayani Muñoz
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Enrique Gustavo Dutra
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
Enrique Gustavo Dutra
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
AngelGomezRomero
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
Internet Security Auditors
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
davimoryz
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
Internet Security Auditors
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
Alonso Caballero
 
Seguridad en Cloud Computing
Seguridad en Cloud ComputingSeguridad en Cloud Computing
Seguridad en Cloud ComputingCristian Borghello
 
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2Fernando M. Imperiale
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012v3l3r0f0nt3
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
ssuser3937f41
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
Jaime Andrés Bello Vieda
 
Softwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redesSoftwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redes
Omar Yael Miraflores Guzman
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoria
Diego Espinoza A
 
Menos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsMenos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsBonsai Information Security
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Symantec LATAM
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11Alexander Velasque Rimac
 
WAF de AZURE
WAF de AZUREWAF de AZURE
WAF de AZURE
Enrique Gustavo Dutra
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
Enrique Gustavo Dutra
 

Más contenido relacionado

Similar a Analisis Aplicaciones Moviles con OWASP

Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Enrique Gustavo Dutra
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
Enrique Gustavo Dutra
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
AngelGomezRomero
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
Internet Security Auditors
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
davimoryz
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
Internet Security Auditors
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
Alonso Caballero
 
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2Fernando M. Imperiale
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
ssuser3937f41
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
Jaime Andrés Bello Vieda
 
Softwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redesSoftwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redes
Omar Yael Miraflores Guzman
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoria
Diego Espinoza A
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Symantec LATAM
 

Similar a Analisis Aplicaciones Moviles con OWASP (20)

Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Seguridad en Cloud Computing
Seguridad en Cloud ComputingSeguridad en Cloud Computing
Seguridad en Cloud Computing
 
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Softwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redesSoftwares de-monitoreo-y-auditoria-de-redes
Softwares de-monitoreo-y-auditoria-de-redes
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoria
 
Menos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsMenos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL Injections
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 

Más de Enrique Gustavo Dutra

WAF de AZURE
WAF de AZUREWAF de AZURE
WAF de AZURE
Enrique Gustavo Dutra
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
Enrique Gustavo Dutra
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
Enrique Gustavo Dutra
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019
Enrique Gustavo Dutra
 
Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018
Enrique Gustavo Dutra
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]
Enrique Gustavo Dutra
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de Ransomware
Enrique Gustavo Dutra
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1
Enrique Gustavo Dutra
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación
Enrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Enrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Enrique Gustavo Dutra
 

Más de Enrique Gustavo Dutra (11)

WAF de AZURE
WAF de AZUREWAF de AZURE
WAF de AZURE
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019
 
Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de Ransomware
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
 

Último

Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
Luis Enrique Zafra Haro
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
44652726
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
jjfch3110
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 

Último (20)

Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 

Analisis Aplicaciones Moviles con OWASP

  • 1. Secure design of applications for mobile devices. Enrique G. Dutra
  • 2. Punto Net Soluciones SRL © 2016 Enrique Gustavo Dutra  Socio Gerente de Punto Net Soluciones SRL  MVP desde 2006, actualmente MVP Cloud and Datacenter Management  32 años de experiencia en Seguridad de la Información/ Informática.  Responsable del área de Seguridad en compañías que han tercerizado el servicio en Punto Net Soluciones SRL.  Lidera equipo que realiza unos 500 test de vulnerabilidad anuales.  Miembro de IRAM Argentina, miembro del subcomité de Seguridad IT, Evaluador Norma ISO/IEC 27005 y 27103.  Instructor en CPCIPC de la ESAPI.  Disertante en eventos en LATAM.
  • 3. Punto Net Soluciones SRL © 2016 Agenda  Problemática actual  Metodología de evaluación de software  OWASP ◦ Metodología. ◦ Análisis estático vs dinámico. ◦ Herramientas y soluciones.  Infraestructura al rescate.
  • 4. Punto Net Soluciones SRL © 2013 Situación actual Exposición de los servicios y datos a Internet.
  • 5. Punto Net Soluciones SRL © 2016 ¿Qué ocurre hoy en Internet?
  • 6. Punto Net Soluciones SRL © 2016 Plataformas inseguras https://raidforums.com/
  • 7. Copyright Punto Net Soluciones SRL © - 2012 Juguemos…. In June 2016, a data breach allegedly originating from the social website Badoo was found to be circulating amongst traders. Likely obtained several years earlier, the data contained 112 million unique email addresses with personal data including names, birthdates and passwords stored as MD5 hashes.
  • 8. Punto Net Soluciones SRL © 2016 Problemáticas… ✓ Framework desarrollo instalado en producción. ✓ Ausencia de ambientes desarrollo / testing. ✓ Ausencia de validaciones en formularios Web. ✓ Fallas en validación/auntenticación. ✓ Software con ”hardcode”. ✓ Ausencia de conexión cifradas. ✓ Configuración Web permite SQL Injection. ✓ Usuarios de prueba en producción. ✓ Base de datos sin protección o semilla. ✓ Datos sensibles en base de datos : ✓ Ley 25326 Rep. Arg., ✓ HIPAA - La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), ✓ PCI-DSS, ✓ Otros.
  • 9. Punto Net Soluciones SRL © 2016 Ejemplos…
  • 10. Punto Net Soluciones SRL © 2013 Introducción a OWASP Open Web Application Security Project
  • 11. Punto Net Soluciones SRL © 2016 OWASP ✓Promueve el desarrollo de software seguro ✓ Orientada a la prestación de servicios orientados a la Web. ✓Se centra principalmente en el "back-end" mas que en cuestiones de diseño web. ✓Un foro abierto para el debate. ✓ Un recurso gratuito para cualquier equipo de desarrollo de software. https://www.owasp.org
  • 12. Punto Net Soluciones SRL © 2016 OWASP Top 10 ✓OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones WEB según la organización OWASP. ✓El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
  • 13. Punto Net Soluciones SRL © 2016 OWASP ✓ Materiales de Educación ◦ OWASP Top 10 ◦ Guía de Desarrollo OWASP ◦ Guía de Testing OWASP ◦ Guía OWASP para aplicaciones Web Seguras ✓ Software ◦ WebGoat ◦ WebScarab ◦ ESAPI ◦ ZAP ✓ Capítulos Locales ◦ Comunidades interesadas en Seguridad de Aplicaciones
  • 14. Punto Net Soluciones SRL © 2016 Maduración desde el 2004
  • 15. Punto Net Soluciones SRL © 2016 Injection Ejemplo: (demo) 1) Acceder sitio http://demo.testfire.net/ 2) Ingresar usuario admin o jsmith 3) Password ' or '1'='1 4) Ingresar usuario ' or '1'='1 5) Password ' or '1'='1
  • 16. Punto Net Soluciones SRL © 2016 Secuencia de Comandos en Sitios Cruzados (XSS) Ejemplo: (demo) 1) Ingrese a demo.testfire.net 2) En Search escriba : <h1><marquee> Bienvenidos a vOpen UY </marquee></h1> 3) Presione el botón GO. 4) Copie el link de la URL en https://bitly.com/. 5) Debe obtener el link https://bit.ly/31BDEc3 6) Enviar por correo.
  • 17. Punto Net Soluciones SRL © 2013 Más Vulnerable Publicando servicios con aplicaciones móviles
  • 18. Punto Net Soluciones SRL © 2016 Desarrollo inseguro  75% de las apps móviles no pasaría pruebas básicas de seguridad.  Controles de seguridad quedan excluidos del proceso de diseño.  En entornos de desarrollo se deben validar las aplicaciones.  Del 100% testeado, 99.98% tenían problemas de seguridad.
  • 19. Punto Net Soluciones SRL © 2016 Análisis aplicaciones móviles ✓Análisis estático. ✓Análisis dinámico. ✓Análisis tráfico de red. Desarrollo Area Seguridad Analizar aplicaciones desarrolladas internamente o por terceros Analizar aplicaciones adquiridas por la compañía
  • 20. Punto Net Soluciones SRL © 2016 Análisis estático
  • 21. Punto Net Soluciones SRL © 2016 Análisis dinámico
  • 22. Punto Net Soluciones SRL © 2016 ¿Cómo testear?  No hay presupuesto no es una excusa.  OWASP provee metodología de evaluación. VER PLANILLA.  Uso de herramientas Open-Source: ◦ MobSF ◦ Qark ◦ Mara
  • 23. Punto Net Soluciones SRL © 2016 MobSF - DEMO  MobSF es un entorno completo de análisis que permite hacer pruebas estáticas y dinámicas en ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX). ✓ Información del archivo ✓ Información de la aplicación ✓ Posibles elementos vulnerables ✓ Naturaleza del código ✓ Análisis del código decompilado ✓ Información del certificado ✓ Listado de permisos ✓ Extras de seguridad
  • 24. Punto Net Soluciones SRL © 2016 Mara Framework  Es un marco de análisis e ingeniería inversa de aplicaciones móviles.  Es una herramienta que combina herramientas de ingeniería inversa y análisis de uso común para ayudar a probar las aplicaciones móviles contra las amenazas de seguridad móvil OWASP.
  • 25. Punto Net Soluciones SRL © 2016 Mara Framework  Ejecutar el comando . ◦ /mara.sh -s <aplicacionapk>.apk  Resultados en ◦ /MARA_Framework/data/APK.APK/Analysis
  • 26. Punto Net Soluciones SRL © 2016 QARK  Quick Android Review Kit  Herramienta de análisis de código estático, diseñada para reconocer posibles vulnerabilidades de seguridad y puntos de preocupación para las aplicaciones Android basadas en Java.  QARK educa a los desarrolladores. Ejecutar el comando qark --apk <aplicacionapk>.apk
  • 27. Punto Net Soluciones SRL © 2016 Links útiles  https://github.com/ashishb/android- security-awesome  https://www.owasp.org
  • 28. Punto Net Soluciones SRL © 2013 Código Fuente no puede modificarse Resolver con Infraestructura
  • 29. Punto Net Soluciones SRL © 2016 WAF ✓ SQL injection ✓ Cross site scripting ✓ Common attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack ✓ HTTP protocol violations ✓ HTTP protocol anomalies ✓ Bots, crawlers, and scanners ✓ Common application misconfigurations (e.g. Apache, IIS, etc.) ✓ HTTP Denial of Service Azure Web Application Firewall (WAF) OWASP ModSecurity Core Rule Set (CRS) OWASP core rule sets
  • 30. Punto Net Soluciones SRL © 2016 WAF