Este documento presenta una introducción al Open Web Application Security Project (OWASP) y sus herramientas para la seguridad de aplicaciones web. Explica el OWASP Testing Guide, que proporciona una metodología para realizar pruebas de seguridad en diferentes etapas del ciclo de vida del desarrollo web. También describe varias herramientas OWASP como ZAP, Nikto y SQLMap que automatizan la detección de vulnerabilidades comunes como inyecciones SQL y cross-site scripting.
Diapositivas utilizadas en la presentación sobre "Pentesting con Zed Attack Proxy" para 0x11 OWASP Perú Chapter Meeting. Evento realizado el día Miércoles 23 de Noviembre del 2016.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Diapositivas utilizadas en la presentación sobre "Pentesting con Zed Attack Proxy" para 0x11 OWASP Perú Chapter Meeting. Evento realizado el día Miércoles 23 de Noviembre del 2016.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/busqueda-de-vulnerabilidades-en-aplicaciones-moviles-android/
Con el incremento desmesurado de dispositivos móviles también crece nuestra preocupación por la seguridad de los usuarios que confiadamente usan aplicaciones de terceros sin ninguna precaución.
En este taller los asistentes aprenderán a usar las herramientas necesarias para identificar las vulnerabilidades más comunes en aplicaciones Android.
El taller abarcará desde la ingeniería inversa de las aplicaciones hasta el análisis de tráfico para la evaluación de servicios web involucrados.
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
Slides from my presentation on DrupalCamp Spain 2014, on Valencia, related to Drupal security, and how to perform security audits on a web developed with this tool.
Slides de mi presentación sobre ataque y defensa a sistemas Drupal, en el marco de la II Jornada de Seguridad en las Comunicaciones y la Información, en la Escuela Superior de Ingenieros de la Universidad de Sevilla, el 9 de junio de 2015
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/busqueda-de-vulnerabilidades-en-aplicaciones-moviles-android/
Con el incremento desmesurado de dispositivos móviles también crece nuestra preocupación por la seguridad de los usuarios que confiadamente usan aplicaciones de terceros sin ninguna precaución.
En este taller los asistentes aprenderán a usar las herramientas necesarias para identificar las vulnerabilidades más comunes en aplicaciones Android.
El taller abarcará desde la ingeniería inversa de las aplicaciones hasta el análisis de tráfico para la evaluación de servicios web involucrados.
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
Slides from my presentation on DrupalCamp Spain 2014, on Valencia, related to Drupal security, and how to perform security audits on a web developed with this tool.
Slides de mi presentación sobre ataque y defensa a sistemas Drupal, en el marco de la II Jornada de Seguridad en las Comunicaciones y la Información, en la Escuela Superior de Ingenieros de la Universidad de Sevilla, el 9 de junio de 2015
Sitio Web: http://www.reydes.com
e-mail: caballero.alonso@gmail.com
OpenVAS (Open Vulnerability Assessment System) o Sistema Abierto para la Evaluación de Vulnerabilidades) está constituido por varios servicios y herramientas los cuales proporcionan un completo y poderoso entorno para el escaneo de vulnerabilidades, además de una solución para la administración de vulnerabilidades. OpenVAS es Software Libre.
OWASP Zed Attack Proxy (ZAP) es una herramienta integral, la cual se utiliza para realizar pruebas de penetración y encontrar vulnerabilidades en aplicaciones web. Zed Attack Proxy proporciona escaners automáticos, como también un conjunto de herramientas las cuales permiten encontrar de manera manual, vulnerabilidades de seguridad.
VI Foro de Seguridad de RedIRIS que se focalizó en la seguridad a nivel de aplicación. En esta ocasión, se impartió la conferencia "OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza.".
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadeszekivazquez
Slides de la sesión impartida en DrupalCamp Spain 2018 por Zequi Vázquez, en la que se describe cómo funcionan tres de las vulnerabilidades más relevantes del core de Drupal en los últimos años.
Slides de la charla impartida en el Hack&Beers Cádiz, Vol. 3, sobre una pequeña introducción al "remapeo" (o cambio de parámetros en la centralita) de una motocicleta con motor de inyección.
Se explicó el origen de la emblemática marca Harley Davidson, la diferencia entre motores de carburación e inyección, y en qué consiste la modificación de los parámetros de ésta última (coloquialmente conocido como "remapeo"), con el objetivo de afinar el comportamiento del motor.
La sesión consiste en unas pequeñas pinceladas, ya que el autor no es experto en mecánica.
Slides from the session I presented on DrupalCamp 2015 about Drupal scaling ability with Apache Mesos, Docker containers and some more fancy technologies.
Presentación empleada en el taller de introducción a Drupal, que impartí en las Jornadas de Software Libre, en la Universidad de Cádiz, el 26 de noviembre de 2013
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
1. Hacking web con OWASP
Ezequiel V´zquez De la calle
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
2. Sobre mi
Estudios
Ingeniero T´cnico en Inform´tica - UCA
e
a
M´ster en Ingenier´ del Software - US
a
ıa
Experto en Seguridad de las TIC - US
Experiencia
3+ a˜os como desarrollador web
n
Actualmente: DevOps Drupal
Python, C++, GNU/Linux, network programming. . .
Aficiones
Rock’n’Roll (guitarrista) y videojuegos
Narrativa fant´stica, rol, cine. . .
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
5. Seguridad
¿Y esto de qu´ va?
e
Seguridad web
Exposici´n a internet
o
Vulnerabilidades
Explotaci´n
o
¿Hackers?
...
Dinero
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
6. OWASP
Open Web Application Security Project
Fundaci´n sin ´nimo de lucro
o
a
Multitud de proyectos: algo ca´tico
o
Colaboraci´n a nivel mundial, grupos locales
o
Metodolog´ de an´lisis de seguridad web
ıa
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
7. OWASP
M´s de 36000 colaboradores
a
Conferencias por todo el mundo, durante todo el a˜o
n
En Espa˜a: Asociaci´n de profesionales
n
o
Libros, merchandising, etc.
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
9. Proyectos de OWASP
142 proyectos, a lo largo del mundo
OWASP Code Review
OWASP DNIe
OWASP Google Hacking
OWASP SQLiBench
OWASP Testing guide [!]
OWASP Top Ten
OWASP WebScarab
OWASP WebSlayer
OWASP Zed Attack Proxy
...
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
11. OWASP Testing Guide
Consideraciones previas
Enfoque de caja negra,
pero incluye pruebas de
todo tipo
Divide las pruebas en fases
asociadas al ciclo de vida
¡No s´lo pentesting!
o
Disponible como libro,
PDF y wiki
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
12. OWASP Testing Guide
Etapas
1
Antes del desarrollo
Revisar pol´
ıticas, est´ndares, etc.
a
Definir m´tricas y criterios de evaluaci´n
e
o
2
Durante la definici´n y el dise˜o
o
n
Revisar requisitos de seguridad
Revisar dise˜o y arquitectura
n
Crear y revisar modelos de amenazas
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
13. OWASP Testing Guide
Etapas
3
Durante el desarrollo
Revisar el c´digo junto con los desarrolladores
o
4
Durante el despliegue
Realizar test de penetraci´n [!]
o
Analizar la gesti´n de la configuraci´n
o
o
5
Durante el mantenimiento
Revisar la gesti´n de operaciones
o
Pruebas peri´dicas del estado de salud
o
Asegurar la verificaci´n de cambios
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
15. Pentesting con OWASP
Adquisici´n de informaci´n
o
o
An´lisis de fuentes p´blicas sobre el sitio web
a
u
An´lisis de la ayuda del propio sitio
a
Uso de spiders, robots y crawlers (puntos de entrada)
An´lisis de metadatos de los ficheros descargables (FOCA)
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
16. Pentesting con OWASP
Google (Bing y Shodan) Hacking
Utilizaci´n de operadores avanzados del buscador.
o
site: Limitar la b´squeda a un unico dominio
u
´
cache: Buscar en la cach´ de Google
e
inurl: Resultados que contienen un valor en la URL
ext:, filetype: Buscar ficheros con la extensi´n indicada
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
17. Pentesting con OWASP
Revisi´n de la configuraci´n
o
o
Uso de SSL (Man In The Middle y SSLStrip a un cliente)
Conexi´n a BBDD (Conexiones remotas)
o
Sistema operativo del servidor
Configuraci´n del servidor web (Versi´n vulnerable)
o
o
M´todos HTTP permitidos por el servidor (PUT, DELETE)
e
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
18. Pentesting con OWASP
An´lisis de autenticaci´n
a
o
Enumeraci´n de usuarios (M´dulo Views de Drupal)
o
o
Ataque de fuerza bruta o diccionario
Bypass del sistema de autenticaci´n (SQLi)
o
Contrase˜as suprayectivas
n
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
19. Pentesting con OWASP
An´lisis de la gesti´n de la sesi´n
a
o
o
Exposici´n de variables de sesi´n
o
o
Cookies no cifradas (modificaci´n de atributos)
o
Cross Site Request Forgery
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
20. Pentesting con OWASP
An´lisis de autorizaci´n y l´gica de negocio
a
o
o
Acceso a ficheros
Escalado de privilegios
Fallos en la l´gica de la aplicaci´n
o
o
An´lisis de mensajes de error
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
21. Pentesting con OWASP
Validaci´n de datos de entrada y salida
o
Cross Site Scripting (XSS)
Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.)
Buffer overflow
Fuzzing (entrada aleatoria, y/o excesivamente grande)
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
22. Pentesting con OWASP
Denegaci´n de servicio
o
No liberaci´n de recursos
o
Almacenamiento de demasiada informaci´n en la sesi´n
o
o
Bloqueo de usuarios
Entrada de usuario en un bucle
Gesti´n de peticiones repetitivas (LOIC)
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
23. ¿Y c´mo protejo mi web?
o
Buenas pr´cticas
a
Auditor´ de seguridad
ıas
peri´dicas
o
Integrar la seguridad en el
desarrollo desde el inicio
Asumir que siempre
habr´ fallos de seguridad
a
Si alguien va a por
ti. . . (APT)
Encontrar el equilibrio
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
25. OWASP Top Ten
Lista de vulnerabilidades
m´s comunes
a
Publicada cada tres a˜os
n
Cuarta versi´n en 2013
o
”Meter el miedo en el
cuerpo”
´
Util como referencia r´pida
a
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
26. OWASP ZAP
Proxy que intercepta peticiones y respuestas
Permite modificar el contenido de ambas
Detecta posibles superficies de ataque
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
27. Nikto2
Esc´ner de vulnerabilidades
a
web
C´digo abierto (GPL)
o
Comprueba versiones
desactualizadas, m´todos
e
HTTP, etc.
No est´ dise˜ado como
a
n
herramienta stealth
http://www.cirt.net/nikto2
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
28. SQLMap
Automatiza la detecci´n y
o
explotaci´n de vulnerabilidades
o
SQLinjection
C´digo abierto (GPL)
o
Soporta muchos motores
(MySQL, Oracle, PostgreSQL,
MS SQL Server... ¡hasta Access!)
http://sqlmap.org/
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
29. OWASP Xenotix
Framework de detecci´n y explotaci´n de XSS
o
o
Analiza IE, Chrome y Firefox
Herramienta muy potente
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
31. Conclusiones
Realizar testing durante todo el ciclo de vida
¡El pentesting no es un juego! Permiso por escrito
¡Importante! Documentaci´n con resultados obtenidos
o
Un buen an´lisis debe intentar cubrir el m´ximo de la
a
a
superficie de ataque
Ahorro o p´rdida de dinero, reputaci´n, etc.
e
o
La importancia de la formaci´n
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
34. Referencias
OWASP official webpage
https://www.owasp.org
Browser security handbook
https://code.google.com/p/browsersec/wiki/Main
Blog Flu Project
http://www.flu-project.com
Blog Seguridad para Todos
http://www.seguridadparatodos.com
Una al d´
ıa
http://unaaldia.hispasec.com
Ezequiel V´zquez De la calle
a
Hacking web con OWASP
35. Esto es todo, amigos...
¡Gracias!
¿Preguntas?
@RabbitLair
ezequielvazq[at]gmail[dot]com
Ezequiel V´zquez De la calle
a
Hacking web con OWASP