The OWASP Foundation (Open Web Application Security Project) is a global non-profit organization that seeks to create an open community dedicated to the development and maintenance of reliable and secure applications.
One of OWASP's most well-known assets is the “OWASP Top 10”, a best practice guide developed with broad consensus with companies specializing in application security and containing the 10 most common flaws in web application security.
During the presentation, the 10 vulnerabilities included in the latest version of the 2017 guide are introduced, as well as techniques to detect and prevent them.
Cuando una aplicación web contiene vulnerabilidades, es hora de llamar a la caballería; pero, si nosotros somos los desarrolladores, nosotros somos la caballería, somos quienes debemos resolver las vulnerabilidades y entregar aplicaciones confiables. La lista OWASP Top 10 2013 es un proyecto que tiene el objetivo de que los desarrolladores tomemos conciencia de la seguridad en las aplicaciones al identificar los principales riesgos que enfrentan las organizaciones. El entender cómo ocurren las vulnerabilidades más comúnmente encontradas nos ayudará a mejorar nuestros hábitos al desarrollar aplicaciones.
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
Presentación sobre el Top 10 de Riesgos en Aplicaciones Web de Vicente Aguilera dentro del congreso ADWYS CON 11. La presentación desarrolló las 10 amenazas más frecuentes para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.
Cuando una aplicación web contiene vulnerabilidades, es hora de llamar a la caballería; pero, si nosotros somos los desarrolladores, nosotros somos la caballería, somos quienes debemos resolver las vulnerabilidades y entregar aplicaciones confiables. La lista OWASP Top 10 2013 es un proyecto que tiene el objetivo de que los desarrolladores tomemos conciencia de la seguridad en las aplicaciones al identificar los principales riesgos que enfrentan las organizaciones. El entender cómo ocurren las vulnerabilidades más comúnmente encontradas nos ayudará a mejorar nuestros hábitos al desarrollar aplicaciones.
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
Presentación sobre el Top 10 de Riesgos en Aplicaciones Web de Vicente Aguilera dentro del congreso ADWYS CON 11. La presentación desarrolló las 10 amenazas más frecuentes para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
El curso tendrá por objetivo introducir a los asistentes en las pruebas que deben realizarse para detectar, explotar y corregir vulnerabilidades en aplicaciones web. Los principales temas que serán los siguientes:
- Introducción y uso de herramientas (Mantra & BurpSuite)
- Enumeración y análisis de aplicaciones web
- Detección y explotación de vulnerabilidades comunes
- SQL Injection
- Cross-Site Scripting (XSS)
- RFI / LFI
- Credenciales por defecto
- Enumeración de usuarios
- Uso de fuerza bruta
- Otras vulnerabilidades…
- Post-Explotación y acceso al sistema
- Principios para la fortificación de aplicaciones web
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
Este webinar expone detalladamente el procedimiento de como utilizando la distribución Kali Linux, orientada a realizar pruebas de penetración y auditorías de seguridad; y puntualmente la herramienta OWASP Zed Attack Proxy (ZAP), es factible encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones.
Ponencia del evento Latin CACS 2017 de Isaca. San José Costa Rica.26 - 27 sept. 2017.
Conceptos y elementos necesarios para el entendimiento de sistemas Android y IOs y auditar técnicamente una aplicación móvil.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
El curso tendrá por objetivo introducir a los asistentes en las pruebas que deben realizarse para detectar, explotar y corregir vulnerabilidades en aplicaciones web. Los principales temas que serán los siguientes:
- Introducción y uso de herramientas (Mantra & BurpSuite)
- Enumeración y análisis de aplicaciones web
- Detección y explotación de vulnerabilidades comunes
- SQL Injection
- Cross-Site Scripting (XSS)
- RFI / LFI
- Credenciales por defecto
- Enumeración de usuarios
- Uso de fuerza bruta
- Otras vulnerabilidades…
- Post-Explotación y acceso al sistema
- Principios para la fortificación de aplicaciones web
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
Este webinar expone detalladamente el procedimiento de como utilizando la distribución Kali Linux, orientada a realizar pruebas de penetración y auditorías de seguridad; y puntualmente la herramienta OWASP Zed Attack Proxy (ZAP), es factible encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones.
Ponencia del evento Latin CACS 2017 de Isaca. San José Costa Rica.26 - 27 sept. 2017.
Conceptos y elementos necesarios para el entendimiento de sistemas Android y IOs y auditar técnicamente una aplicación móvil.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Secure Development, Seguridad al CodificarAndrés Londoño
Conoce los tipos de vulnerabilidades más comunes en aplicaciones y las prácticas básicas más recomendadas para evitarlas.
Objetivo de esta presentación es lograr aumentar los niveles de concientización en los equipos de desarrollo y líderes de proyecto sobre las vulnerabilidades que más impacto tienen en las aplicaciones.
Este curso diseñado para ayudar a los desarrolladores a realizar código de software seguro, utilizando SDL y OWASP 2013. Se analizan modelos de riesgo para analizar si el código es o no seguro. Si desea recibir este curso puede contactarse en www.puntonetsoluciones.com.ar.
Estrategias para un Movimiento Seguro a la Nube SYMANTECCristian Garcia G.
Las empresas están adoptando servicios en la nube en una escala alta, donde los departamentos de TI y Seguridad normalmente no son conscientes de estos movimientos. La propiedad intelectual, la información financiera, los datos de los clientes pueden ser expuestos por usuarios regulares y maliciosos, lo que puede traer riesgos indeseables para el negocio. Esta presentación cubrirá los aspectos clave que deben observarse para un viaje seguro a la nube, para generar beneficios reales para el negocio.
SPEAKER : Andre Carraretto - Cyber Security Strategist
Estratega de seguridad de la información de Symantec, principal portavoz y responsable de la difusión de la visión estratégica de la empresa en el mercado y para los principales clientes en Brasil y Latino América.
Responsable de la arquitectura y estrategia de Seguridad de la Información para los Juegos Olímpicos Rio 2016 para toda la cartera de productos y servicios de Symantec.
Con más de 20 años de experiencia en TI, cuenta con varias certificaciones del mercado, entre ellas ISC2 CISSP, CCSK y PCIP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Panda Security - Presentación Adaptive Defense 360Panda Security
Adaptive Defense 360 es la primera y única solución de seguridad del mercado que combina la protección más avanzada y la última tecnología de detección y remediación con la capacidad de clasificar todos los procesos en ejecución.
- ¿Quieres saber más sobre Adaptive Defense 360? http://bit.ly/21jljMu
- Prueba una demo de producto: http://bit.ly/21jl4Bi
- Habla con un experto: http://bit.ly/1Ouzvve
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Webinar Cloud: Servicios de Seguridad GestionadaArsys
Presentación del Webinar sobre Servicios de Seguridad Gestionada, impartido por Álvaro Collado, Técnico de Preventa de Cloud Solutions en Arsys, en octubre de 2013.
Más información sobre los Webinars Cloud en http://ow.ly/pBkQd
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud ComputingEXIN
El Cloud Computing, Computación en la Nube, Servicios en la Nube o como quiera que lo denominemos, es un nuevo enfoque de hacer las cosas dentro del mundo de la Gestión de los Servicios, un nuevo paradigma, que ha venido para quedarse y que cada día gana más y más adeptos. Sus ventajas para empresas y particulares son innumerables, pero ¿es oro todo lo que reluce?...
Quizá la aproximación más coherente sea: Cloud Computing, rotundamente sí, pero sabiendo dónde nos metemos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Estructuras básicas_ conceptos de programación (1).docx
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
1. OWASP
Top 10 (2017)
Repaso a las 10 principales vulnerabilidades de
seguridad en aplicaciones web
OPENSOUTHCODE 2018
ÁNGEL GÓMEZ ROMERO
1 DE JUNIO 2018