La OWASP (Open Web Application Security Project) es una organización sin fines de lucro dedicada a mejorar la seguridad de las aplicaciones web. Ofrece publicaciones, herramientas de código abierto y capítulos locales para ayudar a desarrolladores, auditores y otros profesionales de seguridad. El documento introduce la OWASP, sus objetivos de promover las mejores prácticas de seguridad y algunos de sus proyectos y publicaciones más importantes.

1. The OWASP Foundation
http://www.owasp.org
Introducción a la OWASP
Ing. Camilo Fernández
Consultor en Seguridad Informática
Agosto, 2011
camilo.fernandez@owasp.org

2. Camilo Fernandez?
• 8+ años de experiencia en seguridad informática.
• Presidente de OWASP Guatemala.
• seguridad! seguridad! Seguridad!
Certificaciones en Seguridad Informática
CISM
Certified Information Security Manager
CISSP
Certified Information Systems Security Professional
CISA
Certified Information Security Auditor
CEH
Certified Ethical Hacker
CHFI
Computer Hacking Forensic Investigator
MSCE 2003 : Security
Microsoft Certified Engineer specialized in Security
CEPT
Certified Expert Penetration Tester
ISO 27001 Lead Auditor
Security+

3. Que Dem#!..s.. Es la OWASP?
OPEN WEB APPLICATION SECURITY PROJECT
WASP = google { define:wasp } = ABEJA
• Nació en el 2001, por un grupo de personas que se preguntaron:
Porque nos confiamos de aplicaciones Web, que tipo de estándar de
seguridad nos brinda confianza ?
• Comunidad LIBRE y OPEN SOURCE de todos los proyectos que se desarrollan.
• Organización NO LUCRATIVA

4. Que Dem#!..s.. Es la OWASP?
OPEN WEB APPLICATION SECURITY PROJECT
• Abierta a cualquiera que quiera APRENDER, AYUDAR, DESARROLLAR o MEJORAR
la seguridad en aplicaciones Web.
• Misión:
“Apoyar a organizaciones a crear, desarrollar, adquirir, operar o mantener
aplicaciones que puedan ser confiables.”
• Que nos Brinda:
• Publicaciones, artículos, normas de buenas practicas.
• Herramientas para auditorias de seguridad, educación y librerías de programación.
• Capítulos locales & Listas de correo.
• Conferencias internacionales.
• BECAS DE INVESTIGACION > $100,000 USD

5. Porque tanto bla.bla… de la OWASP?
• Porque se volvió FAMOSA a nivel INTERNACIONAL.
• Porque:
NO apoya ninguna marca, tecnología o producto, apoya el CONOCIMIENTO.
Finalmente, por que la NSA (National Security Agency) adopto y
apoyo el proyecto del TOP TEN y lo mantiene como un estándar a
nivel internacional de las 10 amenazas mas criticas en aplicaciones
Web.

6. Algunas publicaciones de la OWASP
• Publicaciones: => documentos ( PDF, Word )
• TOP TEN – 10 Vulnerabilidades criticas en aplicaciones Web.
Gerentes de Desarrollo/IT.
• TESTING GUIDE – Guía de Auditoria Web.
Pentesters.
• Guía de Buenas practicas de desarrollo.
Desarrolladores.

7. Algunos proyectos de la OWASP
• Proyectos: => Herramientas OPEN SOURCE
• Threat Modeling Tool.
Gerentes de Desarrollo.
• WebScarab – Web Proxy.
• DirBuster.
• Zed Attack Proxy. Pentesters.
• JBroFuzz.
• WebGoat
Librerías de Seguridad (ESAPI).
• PHP, .NET, JAVA, Ruby, Python, Desarrolladores.
• Objective C,C, C++, Javascript, etc.

8. Bueno y ahora que va ver…en Guate!
• Inicio de la comunidad de OWASP.
• Objetivo #1:
“Integrar a todos los que quieran participar.”
• Oportunidad de presentar ideas y proyectos.
• Reuniones Periódicas.
• Ambientes Neutrales de Vendedores.
• Café Gratis, si encontramos patrocinadores.
• Objetivo #2:
“Promover el desarrollo seguro en universidades.”

9. Preguntas
Pagina oficial del Capitulo en Guatemala:
http://www.owasp.org/index.php/Guatemala
Lista de Correo:
https://lists.owasp.org/mailman/listinfo/owasp-guatemala
Visiten www.owasp.org
Gracias por su atención!

10. Hablemos de Hoy
• Introducción a la OWASP.
1. 10 Vulnerabilidades criticas en aplicaciones Web.
2. Un método de cómo hacer BLIND SQL INJECTION.
3. Como mitigarnos de esto en dos tecnologías diferentes:
• PHP
• .NET
4. Que ofrece JAVA a nivel de seguridad.
5. Veremos el modelo de seguridad que ofrece ANDROID.
6. Cambio a charla de ataques de DoS !