Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10

•

0 recomendaciones•121 vistas

Expositor: Pablo Alzuri Resumen: Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo? En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.

Tecnología

Enfoque práctico para construir
aplicaciones sin vulnerabilidades
del OWASP Top 10
Pablo Alzuri
uy.linkedin.com/in/palzuri
https://twitter.com/palzuri

AGENDA
Algunos de los proyectos de OWASP
Ciclo de desarrollo seguro
Oportunidades de utilizar GeneXus
Conclusiones

Inyección SQL
select
*
from
usuario

where
nombre
=
'NOMBRE‘

NOMBRE
=
Pablo';

truncate
table
usuario;
-‐-‐

select
*
from
usuario

where
nombre
=
'Pablo';

truncate
table
usuario;
-‐-‐‘

h?p://allplaidout.com/2013/07/the-‐lone-‐ranger/

¿Tengo la bala de plata?

h?p://allplaidout.com/2013/07/the-‐lone-‐ranger/

No existe la bala de plata

Calidad del software
Disponibilidad

Interoperabilidad

Mantenibilidad

Performance
Escalabilidad

Seguridad
Usabilidad

Reusabilidad
Conﬁabilidad

h?p://owasptop10.googlecode.com/ﬁles/OWASP_Top-‐10_2013%20-‐%20Changes-‐from-‐2010.pptx

h?ps://www.owasp.org/images/thumb/a/a7/OWTGv4_Cover.png/455px-‐OWTGv4_Cover.png

h?ps://www.owasp.org/index.php/Category:OWASP_Applicaon_Security_Veriﬁcaon_Standard_Project#tab=Home

h?ps://www.owasp.org/images/5/59/Code_Review_Eoin.pptx

Requerimientos funcionales de seguridad
•  Polícas
de
privacidad
de
datos

(empresariales)

•  Regulaciones
de
la
industria
(Tarjetas
de

crédito)

•  Regulaciones
Gubernamentales
(Habeas

Data)

•  Relevamiento
de
Polícas
de
Seguridad

sobre
autencación
y
autorización

Análisis anti-requerimientos
Casos
de
Abuso:

[McDermo?
J,
Fox
C,
(1999)
”Using
Abuse
Case

Models
for
Security
Requirements
Analysis”]

Casos
de
Mal
Uso:

[Sindre
G,
Opdahl
AL,
(2000)
“Elicing
security

requirements
by
misuse
cases”
]

Aproximadamente
el
50%
de
los
problemas
de

seguridad
son
causados
debido
a
fallas
de

diseño.

Análisis de Riesgo
h?ps://www.owasp.org/index.php/OWASP_Risk_Rang_Methodology

Implementación
• Pautas
de
desarrollo

(OWASP
Top
Ten)

• Revisiones
de
código
por
pares

• Revisión
de
código
automazada

(Security
Scanner)

Testing
•  Tesng
funcionalidades
de
seguridad

•  Manual

•  Automazada

•  Tesng
de
seguridad
basada
en
riesgos

•  Pruebas
diseñadas
en
función
de
los
casos

de
abuso,
mal
uso
y
análisis
de
riesgos.

Implantación
•  Hardening
servidores.

•  Gesón
de
Vulnerabilidades
de
sotware

base.

•  Test
de
penetración
o
“hackeo
éco”

Objevo
validar
el
sotware
desarrollado
en
el

ambiente
de
ejecución
en
el
cual
será
puesto
en

producción.

Gestión
•  Registrar
vulnerabilidades
detectadas
en

cada
etapa

•  Planiﬁcación
de
capacitación

•  Planiﬁcación
de
tareas
de
seguridad
en
el

ciclo
de
desarrollo

•  Reservar
empos
en
el
proyecto
para
las

acvidades
de
seguridad.

Pablo Alzuri
¡Muchas Gracias!
uy.linkedin.com/in/palzuri
https://twitter.com/palzuri

Más contenido relacionado

Similar a Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10

Proyecto Top 10 de OWASP La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos. Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web. Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo. A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable. La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing. Terminando con recomendaciones y links para consultar todo lo dado. Expositor: Juan Pablo Soto

Argentesting 2017 - Proyecto OWASP Top 10

Argentesting

In seguridad de aplicaciones web

Saul Mamani

10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...

Internet Security Auditors

Introduccion a la OWASP Guatemala

Camilo Fernandez

Open Web Application Security Project OWASP

EdwardZarate2

Consejos de seguridad con Alfresco

Toni de la Fuente

La necesidad de construir software seguro. IBM Software Summit #Start013

Internet Security Auditors

Lacrest 2012

v3l3r0f0nt3

WAF de AZURE

Enrique Gustavo Dutra

Webinar Gratuito: "Zed Attack Proxy"

Alonso Caballero

Webinar Gratuito "Explotación CMSs Web"

Alonso Caballero

Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"

Alonso Caballero

Webinar OWASP Zed Attack Proxy (ZAP)

Alonso Caballero

Review OWASP 2014 - OWASP Perú

John Vargas

Pruebas al Software

Jorge Ulises Useche Cuellar

Owasp top 10 - 2013 final - español

davimoryz

Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS

Internet Security Auditors

Castaneda suarezandresfernando2017

Idat

Menos Buffer Overflows, más SQL Injections

Bonsai Information Security

Primera reunión Capitulo OWASP Bogota - Golismero

Jaime Andrés Bello Vieda

Similar a Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10 (20)

Argentesting 2017 - Proyecto OWASP Top 10

In seguridad de aplicaciones web

10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...

Introduccion a la OWASP Guatemala

Open Web Application Security Project OWASP

Consejos de seguridad con Alfresco

La necesidad de construir software seguro. IBM Software Summit #Start013

Lacrest 2012

WAF de AZURE

Webinar Gratuito: "Zed Attack Proxy"

Webinar Gratuito "Explotación CMSs Web"

Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"

Webinar OWASP Zed Attack Proxy (ZAP)

Review OWASP 2014 - OWASP Perú

Pruebas al Software

Owasp top 10 - 2013 final - español

Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS

Castaneda suarezandresfernando2017

Menos Buffer Overflows, más SQL Injections

Primera reunión Capitulo OWASP Bogota - Golismero

Más de TestingUy

Webinar TestingUy - Cuando el testing no es opcional

TestingUy

Expositora: Juliana Herbert. ------------------------------------------- Resumen del webinar ------------------------------------------- Ya está bien documentado en la literatura, y se ha experimentado en la práctica, que los testers tienen éxito en su trabajo cuando encuentran defectos en el software con sus casos de testing. De lo contrario, entienden que el testing puede haber sido solo una pérdida de tiempo ... Estas son características que pueden parecer un poco raras para los profesionales en otras áreas, pero son completamente comprensibles en el contexto del testing. Es por eso que, en 1979, en el libro "The Art of Software Testing", Glenford Myers definió el testing como "el proceso de ejecutar un programa con la intención de encontrar defectos". Lisa Crispin y Janet Gregory, en "Agile Testing" (2009), presentan principios adicionales considerando el testing ágil, como el feedback continuo, la entrega de valor al cliente, el coraje, la simplificación y el enfoque en las personas. Actualmente, el tema más discutido, uno de los más investigados y uno de los más controvertidos es la COVID-19, una enfermedad infecciosa y contagiosa causada por el coronavirus SARS-CoV-2, identificada inicialmente en Wuhan, China, en diciembre de 2019 y caracterizada como una pandemia por la Organización Mundial de Salud el 11 de marzo de 2020. Con más de 7 millones de casos en todo el mundo y 400,000 muertes (situación al 8 de junio), sin vacuna o remedios específicos para su cura, la COVID-19 ha sido combatida en todo el mundo a través de campañas de salud básica y difusión de información. Difundir información hoy es relativamente fácil. Pero saber identificar, comprender y analizar la confiabilidad y veracidad de esta información está lejos de ser simple. Principalmente para el público en general, muchas veces incluido digitalmente, pero sin el conocimiento necesario para una verdadera inclusión. La situación es agravada por la difusión de información falsa, con parcialidad e incompleta. En este seminario web, hablaremos sobre cómo se pueden usar los principios y valores de las pruebas de software para desarrollar criterios que pueden ayudar en la interpretación y el análisis de la información sobre COVID-19. También hablaremos sobre formas de difundir estos criterios para el desarrollo de estas habilidades de "tester de software" al público en general, con el objetivo de contribuir a una comprensión más general de la situación y a una inclusión digital amplia y basada en el conocimiento.

Webinar TestingUy - Usando Principios del Testing de Software en Tiempos de C...

TestingUy

Webinar TestingUy - Sesgos cognitivos en las pruebas. El lado más humano de...

TestingUy

Webinar TestingUy - Thinking outside the box: Cognitive bias and testing

TestingUy

TestingPy meetup - Invitación TestingUy 2020

TestingUy

Oradores: Javier Castro y Mónica Wodzislawski Resumen: Muchas organizaciones comienzan a aplicar metodologías ágiles para la construcción de productos de software. Sin embargo, en nuestra experiencia en el Centro de Ensayos de Software (CES), a través de múltiples proyectos y consultorías de testing de software, observamos que las empresas enfrentan dificultades importantes para articular las actividades de desarrollo, testing y puesta en producción, con la eficiencia y calidad requerida. Se presentará una plataforma de integración continua que incluye el testing automatizado en los diferentes niveles de la pirámide de Cohn. Esta plataforma sirve como prototipo para presentar en la industria de TI, mostrar sus beneficios y contribuir a resolver los obstáculos que enfrentan las empresas y organizaciones.

Meetup TestingUy 2019 - Plataforma de integración y testing continuo

TestingUy

Meetup TestingUy 2019 - May the automation be with you

TestingUy

Oradores: Giuliana Bentancor y Matías Pírez Resumen: Ya sean pruebas modulares, de integración o de sistema, toda funcionalidad bajo prueba es parte de un sistema más complejo que a su vez está embebido en una organización que se rige por reglas, pautas y normas todavía más generales. Muchas veces las pruebas se sesgan en la funcionalidad estudiada sin terminar de comprender el negocio del que son parte, pero incluso cuando se intenta encarar las pruebas desde la perspectiva del negocio cabe la pregunta: ¿realmente conozco el negocio? ¿qué implica conocerlo? ¿cómo puedo hacer para obtener esta información?

Meetup TestingUy 2019 - De árboles, de bosques y de selvas ¿qué visión tengo ...

TestingUy

Orador: Gustavo Mažeikis Resumen: Cuando nos enfrentamos a la tarea de probar una aplicación en Internet es importante conocer cuál es su arquitectura y cómo son las relaciones entre sus componentes. Los mensajes que envían las partes, las acciones que se producen como respuesta y las reglas que gobiernan esos intercambios, son piezas clave para alcanzar ese entendimiento. Porque, al igual que en muchas actividades humanas, el comportamiento de las aplicaciones está regido por protocolos. En esta presentación compartiremos cómo el conocimiento de alguno de estos protocolos y de Apache JMeter nos ayudó en la resolución de un problema práctico en la organización del evento TestingUy.

Meetup TestingUy 2019 - En clave de protocolo con apache JMeter

TestingUy

Orador: Claudio Posada Resumen: Comienzas un proyecto y ya tienes elegido el equipo, la metodología, la arquitectura de pruebas, las herramientas. Todo resulta fantástico hasta que constatas que van a pasar semanas hasta que se encuentre disponible la infraestructura necesaria. ¿Porque esto nunca le pasa a Tony Stark? ¿Que tal si pudieras disponer de toda la infraestructura de testing en minutos? ¿Crear y destruir ambientes a demanda? ¿Disponer de Stressors con un límite teórico infinito? Te invito a vivir la experiencia de ser parte de Industrias Stark por 30 minutos. Descubriremos junto, como Platform as a Service (de la mano de Openshift) cambia nuestra forma de trabajar y nos lleva al siguiente nivel. Luego quedará en ti decidir si volver atrás o impulsar el cambio.

Meetup TestingUy 2019 - Si Tony Stark fuera Tester

TestingUy

Expositor: Edgardo Crovetto Resumen: ¿Cuántas veces pasa que hay que hacer tests cases por el hecho de hacerlos y además hechos para ayer porque no hay tiempo?¿Qué podemos hacer para mantener el máximo cubrimiento de prueba y mínima documentación? El objetivo es realmente enfocarnos en hacer entrega de un producto de calidad, sin la obligación de crear documentación innecesaria por el hecho de hacerlo. Al mismo tiempo, poder mostrar cubrimiento de pruebas apropiado y hacer los informes necesarios para poder estar confiados que se está entregando con calidad. En esta charla trataremos de dar un enfoque para poder elegir una buena estrategía en base a algún caso práctico.

Meetup TestingUy 2019 - ¿Test cases? ¿Son siempre necesarios?

TestingUy

Expositores: Josmell Chavarri y M. Victoria Perez Resumen: Para confiar en un sistema, lo mínimo que esperamos, es que nuestros datos personales sean utilizados de forma segura. Pero también esperamos que este sistema sea agradable, y fácil de usar. ¿Ahora, qué pasa cuando estas medidas de seguridad, tan necesarias para garantizar la confianza, complican la vida del usuario? ¿Será que la seguridad se pone en contra de la usabilidad? o ¿es que la usabilidad simplifica en exceso las cosas, pasando por alto las recomendaciones de seguridad? Uno de los factores más importantes a la hora de analizar la seguridad de una aplicación, es el impacto que puede tener un comportamiento de usuario no esperado. Por otro lado el desarrollo de experiencia de usuario trabaja con el comportamiento de los usuarios para crear experiencias y mejorar la usabilidad de los sistemas. ¿Por qué entonces no consideramos en el diseño de experiencia de usuario a la seguridad, en lugar de sumarla previo a salida a producción? Te invitamos a revisar con nosotros, estos dos conceptos que a primera vista parecen tan opuestos y que no solo cuentan con un origen común sino también con un fin muy alineado.

Charla TestingUy 2019 - ¿Podemos hacer que la seguridad sea usable?

TestingUy

Expositor: Lisa Crispin Resumen: When defining what “modern testing” means to him, Alan Page has said that testers on cross-functional teams should also be testing coaches. Lisa and her co-author Janet Gregory like to think of testers playing a “test consultant” role. Wait, yet another set of skills we have to learn to be successful testers? Not to worry. The skills that make us valuable testers let us help others on our team improve their testing skills. Testers are great at asking questions, providing quick feedback, identifying and solving problems. Lisa will explore ways to grow and apply the skills we already use to help non-testers learn to prevent bugs and build quality in. And she’ll talk about new skills we may need to learn to succeed as test consultants, and how to learn them. Learning intentions: - Why testers need to be test consultants, rather than do all the testing themselves - Skills a tester needs to help others on their cross-functional team learn how to do testing activities themselves - Ways we can learn and practice these skills

Charla TestingUy 2019 - Testers as Test Consultants: How to learn the skills?

TestingUy

Expositor: Melissa Eaden Resumen: Based on my blog post, “Ready Tester One? Go!” I take a look at my own career development and the need to understand a probable career development path for testers in software development. By using and identifying with gaming techniques such as “leveling”, testers are encouraged to find where they think they are in their career growth and then find out how they should continue along the “tester” path and what that might look like as you gain levels. Includes a nifty character sheet people can use to chart their own learning path!

Charla TestingUy 2019 - Ready Tester One? Go!

TestingUy

Expositor: Juliana Herbert Resumen: Los profesionales que confían en el software para la ejecución de actividades cada vez más críticas y complejas también deben saber probarlo. Aunque estos profesionales no sean testers, enseñarles técnicas de testing aumenta su poder de análisis y de crítica, pues así es posible una investigación técnica cualificada. Esta investigación puede realizarse en profundidad si el profesional sabe utilizar su conocimiento de dominio de forma dirigida, buscando la realización de pruebas eficientes (que revelen defectos). Esta charla presenta cuatro patterns para enseñar pruebas de software a no desarrolladores. Estos patterns se derivaron a partir de la experiencia de la proponente como instructora y profesora en cursos de testing en varios niveles de formación, para profesionales sin experiencia en desarrollo de software. Los patterns consideran el enfoque basado en el contexto, utilizando la estrategia basada en el riesgo, testing exploratorio y de caja negra. Para definir los patterns, fueron consideradas “patterns pedagógicos”, que captan el conocimiento de la práctica de la enseñanza y el aprendizaje y “testing patterns”. Los patterns que serán presentados en esta charla pueden ayudar a los profesores e instructores a enseñar el testing de software de manera significativa, cambiando el comportamiento y no solo aprendiendo conceptos.

Charla TestingUy 2019 - Patterns Para Enseñar Testing a Personas que No Desar...

TestingUy

Expositores: Juan De Souza y Pablo Ravera Resumen: En el contexto de arquitecturas de microservicios se hace fundamental asegurar que la comunicación entre consumidores y proveedores se preserve durante el tiempo. Para este cometido los tests de integración ocupan un lugar central, pero los mecanismos tradicionales para llevarlos a cabo resultan poco robustos y costosos de mantener. Para resolver estos problemas aparece el concepto de contract testing generando “pactos” entre los servicios, utilizando la herramienta Pact para asegurar la correcta comunicación. En esta charla hablaremos de la experiencia con Pact dentro de nuestro proceso de integración continua.

Charla TestingUy 2019 - Contract Testing con Pact

TestingUy

Expositores: Paula Martínez y Rodrigo Beceiro Resumen: En esta charla compartiremos nuestra experiencia en el testing de Chatbots. Veremos cómo funciona un chatbot y cuál es el estado del arte en esta tecnología. Hablaremos del procesamiento del lenguaje natural realizado por ellos buscando comprender qué debemos testear. Analizaremos tanto la comprensión del chatbot como el manejo de sus flujos de diálogo y las dificultades que las conversaciones naturales no estructuradas representan para nosotros en el diseño, desarrollo así como en el testing. Hablaremos también de herramientas de testing automático para chatbots y discutiremos qué limitantes presentan para nosotros herramientas como IBM Watson, Microsoft LUIS y Google Dialogflow.

Charla TestingUy 2019 - Testing de chatbots

TestingUy

Expositor: Didier Corrales Resumen: En un ambiente de desarrollo ágil, las pruebas son fundamentales, entonces ¿qué tal si llevamos la automatización al siguiente nivel?. Hay que olvidarse de los estándares más comunes y abrir la mente a aprender cómo mejorar la automatización por medio del uso de herramientas de siguiente generación. Cypress.io permite a todo el equipo lograr las metas que se han trazado en automatización combinando desarrolladores y testers en un solo esfuerzo para crear productos con los más altos estándares de calidad.

Charla TestingUy 2019 - Cypress.io - Automatización al siguiente nivel

TestingUy

Expositores: Matías González, Paula Reyes y William Llanes Resumen: El desarrollo de sistemas de información ha evolucionado a lo largo de tiempo y las tareas de QA como parte de este proceso no han sido la excepción. Tomando como base nuestra experiencia a lo largo de más de 10 años brindando servicios de consultoría en este tipo de proyectos haremos una breve recorrida de cómo ha sido esta evolución desde diferentes perspectivas que involucran al QA. Veremos cómo estos procesos se han ido transformando desde diversos aspectos en busca de mejorar la productividad y minimizar los riesgos propios de cada proyecto. Por último comentaremos cuáles son las nuevas tendencias en la solicitud de servicios de QA en Uruguay así como los principales desafíos que afronta el área y cómo los mismos impactarán en los servicios tal como los conocemos hoy en día.

Charla testingUy 2019 - ¿De dónde venimos y qué se nos viene? - Evolución de ...

TestingUy

Expositor: Anisbert Suárez Batista Resumen: Las pruebas de rendimiento tienen un papel crucial para garantizar la calidad del servicio que ofrece PedidosYa, plataforma de comercio electrónico que conecta a los consumidores con restaurantes, farmacias, supermercados, etc., mediante la solicitud de pedidos online. Durante esta charla se presenta cómo contribuyen las pruebas de rendimiento al proceso de desarrollo, qué aplicaciones prácticas han tenido, qué herramientas se utilizan para la planificación, ejecución y reporte de las pruebas y qué lecciones aprendidas y buenas prácticas han permitido la mejora continua del proceso de prueba.

Charla TestingUy 2019 - Pruebas de rendimiento, experiencias en la plataforma...

TestingUy

Más de TestingUy (20)

Webinar TestingUy - Cuando el testing no es opcional

Webinar TestingUy - Usando Principios del Testing de Software en Tiempos de C...

Webinar TestingUy - Sesgos cognitivos en las pruebas. El lado más humano de...

Webinar TestingUy - Thinking outside the box: Cognitive bias and testing

TestingPy meetup - Invitación TestingUy 2020

Meetup TestingUy 2019 - Plataforma de integración y testing continuo

Meetup TestingUy 2019 - May the automation be with you

Meetup TestingUy 2019 - De árboles, de bosques y de selvas ¿qué visión tengo ...

Meetup TestingUy 2019 - En clave de protocolo con apache JMeter

Meetup TestingUy 2019 - Si Tony Stark fuera Tester

Meetup TestingUy 2019 - ¿Test cases? ¿Son siempre necesarios?

Charla TestingUy 2019 - ¿Podemos hacer que la seguridad sea usable?

Charla TestingUy 2019 - Testers as Test Consultants: How to learn the skills?

Charla TestingUy 2019 - Ready Tester One? Go!

Charla TestingUy 2019 - Patterns Para Enseñar Testing a Personas que No Desar...

Charla TestingUy 2019 - Contract Testing con Pact

Charla TestingUy 2019 - Testing de chatbots

Charla TestingUy 2019 - Cypress.io - Automatización al siguiente nivel

Charla testingUy 2019 - ¿De dónde venimos y qué se nos viene? - Evolución de ...

Charla TestingUy 2019 - Pruebas de rendimiento, experiencias en la plataforma...

Último

Robótica educativa para la eduacion primaria .pptx

44652726

En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática. La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación. Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos. El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás. Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución. Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.

(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática

vazquezgarciajesusma

Sistemas distribuidos de redes de computadores en un entorno virtual de apren...

Luis Fernando Uribe Villamil

Presentacion y Extension de tema para Blogger.pptx

Taim11

Trabajo Coding For kids 1 y 2 grado 9-4.pdf

jjfch3110

PRÁCTICAS DEL MÓDULO I Y II DE EDUCACIÓN Y SOCIEDAD.docx

encinasm992

proyecto invernadero desde el departamento de tecnología para Erasmus

raquelariza02

Herramientas informáticas. Sara Torres R.

saravalentinat22

Unidad 1- Historia y Evolucion de las computadoras.pdf

MarianneBAyn

leidy fuentes - power point -expocccion -unidad 4 (1).pptx

Leidyfuentes19

lenguaje algebraico.pptx álgebra, trigonometria

sofiasonder

Posnarrativas en la era de la IA generativa

Fernando Villares

Introducción a la robótica con arduino..pptx

Johanna4222

3Redu: Responsabilidad, Resiliencia y Respeto

cdraco

EduFlex, una educación accesible para quienes no entienden en clases

PABLOCESARGARZONBENI

Diagrama de flujo basada en la reparacion de automoviles.pdf

ManuelCampos464987

ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024

DanielErazoMedina

(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática

vazquezgarciajesusma

herramientas informaticas mas utilizadas

pqeilyn0827

Diagrama de flujo - ingenieria de sistemas 5to semestre

DiegoCampos433849

Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10

1. Enfoque práctico para construir aplicaciones sin vulnerabilidades del OWASP Top 10 Pablo Alzuri uy.linkedin.com/in/palzuri https://twitter.com/palzuri

2. FAIL

3. AGENDA Algunos de los proyectos de OWASP Ciclo de desarrollo seguro Oportunidades de utilizar GeneXus Conclusiones

4. Inyección SQL select * from usuario where nombre = 'NOMBRE‘ NOMBRE = Pablo'; truncate table usuario; -‐-‐ select * from usuario where nombre = 'Pablo'; truncate table usuario; -‐-‐‘

5. Generación de SQLs en GeneXus

6. h?p://allplaidout.com/2013/07/the-‐lone-‐ranger/ ¿Tengo la bala de plata?

7. h?p://allplaidout.com/2013/07/the-‐lone-‐ranger/ No existe la bala de plata

8. Calidad del software Disponibilidad Interoperabilidad Mantenibilidad Performance Escalabilidad Seguridad Usabilidad Reusabilidad Conﬁabilidad

9. h?p://owasptop10.googlecode.com/ﬁles/OWASP_Top-‐10_2013%20-‐%20Changes-‐from-‐2010.pptx

10. h?ps://www.owasp.org/images/thumb/a/a7/OWTGv4_Cover.png/455px-‐OWTGv4_Cover.png

11. h?ps://www.owasp.org/index.php/Category:OWASP_Applicaon_Security_Veriﬁcaon_Standard_Project#tab=Home

12. h?ps://www.owasp.org/images/5/59/Code_Review_Eoin.pptx

13. Ciclo de desarrollo seguro

14. Ciclo de desarrollo seguro

15. Requerimientos funcionales de seguridad •  Polícas de privacidad de datos (empresariales) •  Regulaciones de la industria (Tarjetas de crédito) •  Regulaciones Gubernamentales (Habeas Data) •  Relevamiento de Polícas de Seguridad sobre autencación y autorización

16. Análisis anti-requerimientos Casos de Abuso: [McDermo? J, Fox C, (1999) ”Using Abuse Case Models for Security Requirements Analysis”] Casos de Mal Uso: [Sindre G, Opdahl AL, (2000) “Elicing security requirements by misuse cases” ]

17. Ciclo de desarrollo seguro

18. Aproximadamente el 50% de los problemas de seguridad son causados debido a fallas de diseño.

19. Análisis de Riesgo h?ps://www.owasp.org/index.php/OWASP_Risk_Rang_Methodology

20. Análisis de Riesgo h?ps://www.owasp.org/index.php/OWASP_Risk_Rang_Methodology

21. Ciclo de desarrollo seguro

22. Implementación • Pautas de desarrollo (OWASP Top Ten) • Revisiones de código por pares • Revisión de código automazada (Security Scanner)

23. Ciclo de desarrollo seguro

24. Testing •  Tesng funcionalidades de seguridad •  Manual •  Automazada •  Tesng de seguridad basada en riesgos •  Pruebas diseñadas en función de los casos de abuso, mal uso y análisis de riesgos.

25. Ciclo de desarrollo seguro

26. Implantación •  Hardening servidores. •  Gesón de Vulnerabilidades de sotware base. •  Test de penetración o “hackeo éco” Objevo validar el sotware desarrollado en el ambiente de ejecución en el cual será puesto en producción.

27. Gestión •  Registrar vulnerabilidades detectadas en cada etapa •  Planiﬁcación de capacitación •  Planiﬁcación de tareas de seguridad en el ciclo de desarrollo •  Reservar empos en el proyecto para las acvidades de seguridad.

28. CONCLUSIONES

29. ¿Preguntas?

30. Pablo Alzuri ¡Muchas Gracias! uy.linkedin.com/in/palzuri https://twitter.com/palzuri

Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10

Recomendados

Recomendados

Más contenido relacionado

Similar a Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10

Similar a Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10 (20)

Más de TestingUy

Más de TestingUy (20)

Último

Último (20)

Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones sin Vulnerabilidades del OWASP TOP 10