SlideShare una empresa de Scribd logo

Betabeers Sevilla - Hacking web con OWASP

Z
zekivazquez

Este documento presenta una introducción al Open Web Application Security Project (OWASP) y sus herramientas para la seguridad de aplicaciones web. Explica el OWASP Testing Guide, que proporciona una metodología para realizar pruebas de seguridad en diferentes etapas del ciclo de vida del desarrollo web. También describe varias herramientas OWASP como ZAP, Nikto y SQLMap que automatizan la detección de vulnerabilidades comunes como inyecciones SQL y cross-site scripting.

1 de 35
Descargar para leer sin conexión
Hacking web con OWASP Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Hacking web con OWASP
Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Open Web Application Security Project Fundaci´n sin ´nimo de lucro o a Multitud de proyectos: algo ca´tico o Colaboraci´n a nivel mundial, grupos locales o Metodolog´ de an´lisis de seguridad web ıa a Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP M´s de 36000 colaboradores a Conferencias por todo el mundo, durante todo el a˜o n En Espa˜a: Asociaci´n de profesionales n o Libros, merchandising, etc. Ezequiel V´zquez De la calle a Hacking web con OWASP
Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´zquez De la calle a Hacking web con OWASP
Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy ... Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´lo pentesting! o Disponible como libro, PDF y wiki Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ ıticas, est´ndares, etc. a Definir m´tricas y criterios de evaluaci´n e o 2 Durante la definici´n y el dise˜o o n Revisar requisitos de seguridad Revisar dise˜o y arquitectura n Crear y revisar modelos de amenazas Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´digo junto con los desarrolladores o 4 Durante el despliegue Realizar test de penetraci´n [!] o Analizar la gesti´n de la configuraci´n o o 5 Durante el mantenimiento Revisar la gesti´n de operaciones o Pruebas peri´dicas del estado de salud o Asegurar la verificaci´n de cambios o Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Testing Guide Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Adquisici´n de informaci´n o o An´lisis de fuentes p´blicas sobre el sitio web a u An´lisis de la ayuda del propio sitio a Uso de spiders, robots y crawlers (puntos de entrada) An´lisis de metadatos de los ficheros descargables (FOCA) a Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´n de operadores avanzados del buscador. o site: Limitar la b´squeda a un unico dominio u ´ cache: Buscar en la cach´ de Google e inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´n indicada o Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Revisi´n de la configuraci´n o o Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´n a BBDD (Conexiones remotas) o Sistema operativo del servidor Configuraci´n del servidor web (Versi´n vulnerable) o o M´todos HTTP permitidos por el servidor (PUT, DELETE) e Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP An´lisis de autenticaci´n a o Enumeraci´n de usuarios (M´dulo Views de Drupal) o o Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´n (SQLi) o Contrase˜as suprayectivas n Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP An´lisis de la gesti´n de la sesi´n a o o Exposici´n de variables de sesi´n o o Cookies no cifradas (modificaci´n de atributos) o Cross Site Request Forgery Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP An´lisis de autorizaci´n y l´gica de negocio a o o Acceso a ficheros Escalado de privilegios Fallos en la l´gica de la aplicaci´n o o An´lisis de mensajes de error a Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Validaci´n de datos de entrada y salida o Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´zquez De la calle a Hacking web con OWASP
Pentesting con OWASP Denegaci´n de servicio o No liberaci´n de recursos o Almacenamiento de demasiada informaci´n en la sesi´n o o Bloqueo de usuarios Entrada de usuario en un bucle Gesti´n de peticiones repetitivas (LOIC) o Ezequiel V´zquez De la calle a Hacking web con OWASP
¿Y c´mo protejo mi web? o Buenas pr´cticas a Auditor´ de seguridad ıas peri´dicas o Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´ fallos de seguridad a Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Top Ten Lista de vulnerabilidades m´s comunes a Publicada cada tres a˜os n Cuarta versi´n en 2013 o ”Meter el miedo en el cuerpo” ´ Util como referencia r´pida a Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´zquez De la calle a Hacking web con OWASP
Nikto2 Esc´ner de vulnerabilidades a web C´digo abierto (GPL) o Comprueba versiones desactualizadas, m´todos e HTTP, etc. No est´ dise˜ado como a n herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´zquez De la calle a Hacking web con OWASP
SQLMap Automatiza la detecci´n y o explotaci´n de vulnerabilidades o SQLinjection C´digo abierto (GPL) o Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´zquez De la calle a Hacking web con OWASP
OWASP Xenotix Framework de detecci´n y explotaci´n de XSS o o Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´n con resultados obtenidos o Un buen an´lisis debe intentar cubrir el m´ximo de la a a superficie de ataque Ahorro o p´rdida de dinero, reputaci´n, etc. e o La importancia de la formaci´n o Ezequiel V´zquez De la calle a Hacking web con OWASP
Conclusiones Ezequiel V´zquez De la calle a Hacking web con OWASP
´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Blog Flu Project http://www.flu-project.com Blog Seguridad para Todos http://www.seguridadparatodos.com Una al d´ ıa http://unaaldia.hispasec.com Ezequiel V´zquez De la calle a Hacking web con OWASP
Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Hacking web con OWASP

Recomendados

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
Camilo Fernandez
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
Alonso Caballero
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
Fabio Cerullo
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
Antonio Toriz
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
Santiago Rodríguez Paniagua
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting
 

Recomendados

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
Camilo Fernandez
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
Alonso Caballero
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
Fabio Cerullo
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
Antonio Toriz
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
Santiago Rodríguez Paniagua
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
RootedCON
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
fosoSSS
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Alonso Caballero
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
Juan Eladio Sánchez Rosas
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
Websec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Websec México, S.C.
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México, S.C.
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México, S.C.
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de Owasp
ULSELSALVADOR
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
superserch
 
Ada 6
Ada 6Ada 6
Ada 6
Miguel Marqueda
 
Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
zekivazquez
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
zekivazquez
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
zekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 

Más contenido relacionado

La actualidad más candente

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
RootedCON
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
fosoSSS
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Alonso Caballero
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
Juan Eladio Sánchez Rosas
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
Websec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Websec México, S.C.
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México, S.C.
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México, S.C.
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de Owasp
ULSELSALVADOR
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
superserch
 

La actualidad más candente (18)

Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Web
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de Owasp
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
 
Ada 6
Ada 6Ada 6
Ada 6
 

Similar a Betabeers Sevilla - Hacking web con OWASP

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
zekivazquez
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
zekivazquez
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
zekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
Tensor
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
Juan José Domenech
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
Gonzalo Vigo
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
Ramón Salado Lucena
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
Tensor
 
Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVAS
Alonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
Alonso Caballero
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
Alonso Caballero
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Ramón Salado Lucena
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
Tensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
Tensor
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Internet Security Auditors
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupal
zekivazquez
 

Similar a Betabeers Sevilla - Hacking web con OWASP (20)

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVAS
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupal
 

Más de zekivazquez

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
zekivazquez
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
zekivazquez
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMS
zekivazquez
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
zekivazquez
 
Information is Power
Information is PowerInformation is Power
Information is Power
zekivazquez
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
zekivazquez
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
zekivazquez
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
zekivazquez
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
zekivazquez
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
zekivazquez
 

Más de zekivazquez (10)

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMS
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
 
Information is Power
Information is PowerInformation is Power
Information is Power
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
 

Último

Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
espinozaernesto427
 
modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
evelinglilibethpeafi
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSATMANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
Ing. Julio Iván Mera Casas
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
actividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañerosactividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañeros
aljitagallego
 
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
IsabelQuintero36
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
tamarita881
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
TAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGA
TAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGATAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGA
TAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGA
arriagaanggie50
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
Actividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdfActividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdf
NajwaNimri1
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
LilibethEstupian
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
sarasofiamontezuma
 

Último (20)

Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
 
modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSATMANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
actividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañerosactividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañeros
 
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
TAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGA
TAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGATAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGA
TAREA #6 - RECURSOS INCLUSIVOS POR ANGGIE ARRIAGA
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
Actividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdfActividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdf
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 

Betabeers Sevilla - Hacking web con OWASP

  • 1. Hacking web con OWASP Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 2. Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 5. Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 6. OWASP Open Web Application Security Project Fundaci´n sin ´nimo de lucro o a Multitud de proyectos: algo ca´tico o Colaboraci´n a nivel mundial, grupos locales o Metodolog´ de an´lisis de seguridad web ıa a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 7. OWASP M´s de 36000 colaboradores a Conferencias por todo el mundo, durante todo el a˜o n En Espa˜a: Asociaci´n de profesionales n o Libros, merchandising, etc. Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 8. Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 9. Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy ... Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 11. OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´lo pentesting! o Disponible como libro, PDF y wiki Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 12. OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ ıticas, est´ndares, etc. a Definir m´tricas y criterios de evaluaci´n e o 2 Durante la definici´n y el dise˜o o n Revisar requisitos de seguridad Revisar dise˜o y arquitectura n Crear y revisar modelos de amenazas Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 13. OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´digo junto con los desarrolladores o 4 Durante el despliegue Realizar test de penetraci´n [!] o Analizar la gesti´n de la configuraci´n o o 5 Durante el mantenimiento Revisar la gesti´n de operaciones o Pruebas peri´dicas del estado de salud o Asegurar la verificaci´n de cambios o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 14. OWASP Testing Guide Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 15. Pentesting con OWASP Adquisici´n de informaci´n o o An´lisis de fuentes p´blicas sobre el sitio web a u An´lisis de la ayuda del propio sitio a Uso de spiders, robots y crawlers (puntos de entrada) An´lisis de metadatos de los ficheros descargables (FOCA) a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 16. Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´n de operadores avanzados del buscador. o site: Limitar la b´squeda a un unico dominio u ´ cache: Buscar en la cach´ de Google e inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´n indicada o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 17. Pentesting con OWASP Revisi´n de la configuraci´n o o Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´n a BBDD (Conexiones remotas) o Sistema operativo del servidor Configuraci´n del servidor web (Versi´n vulnerable) o o M´todos HTTP permitidos por el servidor (PUT, DELETE) e Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 18. Pentesting con OWASP An´lisis de autenticaci´n a o Enumeraci´n de usuarios (M´dulo Views de Drupal) o o Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´n (SQLi) o Contrase˜as suprayectivas n Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 19. Pentesting con OWASP An´lisis de la gesti´n de la sesi´n a o o Exposici´n de variables de sesi´n o o Cookies no cifradas (modificaci´n de atributos) o Cross Site Request Forgery Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 20. Pentesting con OWASP An´lisis de autorizaci´n y l´gica de negocio a o o Acceso a ficheros Escalado de privilegios Fallos en la l´gica de la aplicaci´n o o An´lisis de mensajes de error a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 21. Pentesting con OWASP Validaci´n de datos de entrada y salida o Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 22. Pentesting con OWASP Denegaci´n de servicio o No liberaci´n de recursos o Almacenamiento de demasiada informaci´n en la sesi´n o o Bloqueo de usuarios Entrada de usuario en un bucle Gesti´n de peticiones repetitivas (LOIC) o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 23. ¿Y c´mo protejo mi web? o Buenas pr´cticas a Auditor´ de seguridad ıas peri´dicas o Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´ fallos de seguridad a Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 25. OWASP Top Ten Lista de vulnerabilidades m´s comunes a Publicada cada tres a˜os n Cuarta versi´n en 2013 o ”Meter el miedo en el cuerpo” ´ Util como referencia r´pida a Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 26. OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 27. Nikto2 Esc´ner de vulnerabilidades a web C´digo abierto (GPL) o Comprueba versiones desactualizadas, m´todos e HTTP, etc. No est´ dise˜ado como a n herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 28. SQLMap Automatiza la detecci´n y o explotaci´n de vulnerabilidades o SQLinjection C´digo abierto (GPL) o Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 29. OWASP Xenotix Framework de detecci´n y explotaci´n de XSS o o Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 31. Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´n con resultados obtenidos o Un buen an´lisis debe intentar cubrir el m´ximo de la a a superficie de ataque Ahorro o p´rdida de dinero, reputaci´n, etc. e o La importancia de la formaci´n o Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 32. Conclusiones Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 34. Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Blog Flu Project http://www.flu-project.com Blog Seguridad para Todos http://www.seguridadparatodos.com Una al d´ ıa http://unaaldia.hispasec.com Ezequiel V´zquez De la calle a Hacking web con OWASP
  • 35. Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Hacking web con OWASP