El documento presenta el Top 10 de riesgos de seguridad más importantes en aplicaciones web según la Open Web Application Security Project (OWASP). Explica brevemente cada uno de los 10 riesgos, que incluyen inyección, autenticación y sesiones rotas, cross-site scripting, control de acceso roto, configuración errónea de seguridad, exposición de datos sensibles, protección insuficiente contra ataques, cross-site request forgery, uso de componentes con vulnerabilidades conocidas y APIs sin protección.
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
The OWASP Foundation (Open Web Application Security Project) is a global non-profit organization that seeks to create an open community dedicated to the development and maintenance of reliable and secure applications.
One of OWASP's most well-known assets is the “OWASP Top 10”, a best practice guide developed with broad consensus with companies specializing in application security and containing the 10 most common flaws in web application security.
During the presentation, the 10 vulnerabilities included in the latest version of the 2017 guide are introduced, as well as techniques to detect and prevent them.
Cuando una aplicación web contiene vulnerabilidades, es hora de llamar a la caballería; pero, si nosotros somos los desarrolladores, nosotros somos la caballería, somos quienes debemos resolver las vulnerabilidades y entregar aplicaciones confiables. La lista OWASP Top 10 2013 es un proyecto que tiene el objetivo de que los desarrolladores tomemos conciencia de la seguridad en las aplicaciones al identificar los principales riesgos que enfrentan las organizaciones. El entender cómo ocurren las vulnerabilidades más comúnmente encontradas nos ayudará a mejorar nuestros hábitos al desarrollar aplicaciones.
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
The OWASP Foundation (Open Web Application Security Project) is a global non-profit organization that seeks to create an open community dedicated to the development and maintenance of reliable and secure applications.
One of OWASP's most well-known assets is the “OWASP Top 10”, a best practice guide developed with broad consensus with companies specializing in application security and containing the 10 most common flaws in web application security.
During the presentation, the 10 vulnerabilities included in the latest version of the 2017 guide are introduced, as well as techniques to detect and prevent them.
Cuando una aplicación web contiene vulnerabilidades, es hora de llamar a la caballería; pero, si nosotros somos los desarrolladores, nosotros somos la caballería, somos quienes debemos resolver las vulnerabilidades y entregar aplicaciones confiables. La lista OWASP Top 10 2013 es un proyecto que tiene el objetivo de que los desarrolladores tomemos conciencia de la seguridad en las aplicaciones al identificar los principales riesgos que enfrentan las organizaciones. El entender cómo ocurren las vulnerabilidades más comúnmente encontradas nos ayudará a mejorar nuestros hábitos al desarrollar aplicaciones.
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
Presentación sobre el Top 10 de Riesgos en Aplicaciones Web de Vicente Aguilera dentro del congreso ADWYS CON 11. La presentación desarrolló las 10 amenazas más frecuentes para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
Hackers en los sistemas de las administraciones públicasSEINHE
La charla expone las debilidades más frecuentes en las administrciones públicas que son aprovechadas por los atacantes para acceder a información sensible de las mismas y posibles soluciones.
Esta es una ponencia divulgativa que preparó Florencio Cano, de SEINHE, para presentar en el congreso anual que ISACA Valencia organiza en esta ciudad.
Pentesting con android - Nipper Toolkit Web ScanDylan Irzi
Auditando Sitios Web Joomla, WordPress, Drupal por Android.
Como realizar un Pentesting con Android, Herramienta Nipper.
Hackeando con Android, Herramientas Hacking Android,
Descargar Nipper:
https://play.google.com/store/apps/details?id=com.websecuritydev.nipper
Diapositivas de la charla "Seguridad en Aplicaciones Web" durante las Jornadas del "IV Obradoiro de Criptografía, Privacidade e Seguridade" en la Facultad de Informática de A Coruña
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
Presentación sobre el Top 10 de Riesgos en Aplicaciones Web de Vicente Aguilera dentro del congreso ADWYS CON 11. La presentación desarrolló las 10 amenazas más frecuentes para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
Hackers en los sistemas de las administraciones públicasSEINHE
La charla expone las debilidades más frecuentes en las administrciones públicas que son aprovechadas por los atacantes para acceder a información sensible de las mismas y posibles soluciones.
Esta es una ponencia divulgativa que preparó Florencio Cano, de SEINHE, para presentar en el congreso anual que ISACA Valencia organiza en esta ciudad.
Pentesting con android - Nipper Toolkit Web ScanDylan Irzi
Auditando Sitios Web Joomla, WordPress, Drupal por Android.
Como realizar un Pentesting con Android, Herramienta Nipper.
Hackeando con Android, Herramientas Hacking Android,
Descargar Nipper:
https://play.google.com/store/apps/details?id=com.websecuritydev.nipper
Diapositivas de la charla "Seguridad en Aplicaciones Web" durante las Jornadas del "IV Obradoiro de Criptografía, Privacidade e Seguridade" en la Facultad de Informática de A Coruña
En esta charla veremos las vulnerabilidades de la lista OWASP top ten de 2017 y como evitarlas en NodeJS. Además también veremos buenas prácticas para segurizar nuestras apis utilizando JWT y JWKS.
Video: https://www.youtube.com/watch?v=bMwgLaDyD1w
Seguridad en Aplicaciones Web y Comercio ElectrónicoRené Olivo
Presentación sobre vulnerabilidades que presentan las aplicaciones web y como contrarrestarlas. También explica como guardar información sensible de una manera segura.
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
Presentación Pablo Garaizar de la Universidad de Deusto, durante la XV Jornada de Seguridad TI de Nextel S.A. en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.
La presentación hace referencia a los ataques más comunes sobre las aplicaciones Web. La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de seguridad están expuestas sus aplicaciones. Es importante señalar que existen más ataques, los cuales no figuran en la presentación
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
2. “If you think technology can solve your security problems,
then you don’t understand the problems and you don’t
understand the technology.”
– Bruce Schneier
3. OWASP
• Open Web Application Security Project
• OWASP es un proyecto de código abierto dedicado a
determinar y combatir las causas que hacen que el
software sea inseguro.
• La Fundación OWASP es un organismo sin ánimo de lucro
que apoya y gestiona los proyectos e infraestructura de
OWASP.
• www.owasp.org
4. OWASP TOP 10
• Documento con los diez riesgos de seguridad más
importantes en aplicaciones web
• Se publica y actualiza cada tres años
• Objetivo: crear conciencia acerca de la seguridad en
aplicaciones mediante la identificación de algunos de los
riesgos más críticos que enfrentan las organizaciones.
• Actualmente versión 2017 RC.1 rechazada. RC.2 esperando
comentarios
• https://www.owasp.org/index.php/Top_10_2017-Top_10
5. A1. Injection
String consulta = "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"
Input: Alicia
SELECT * FROM usuarios WHERE nombre = 'Alicia';
Input: Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%
SELECT * FROM usuarios WHERE nombre = 'Alicia';
DROP TABLE usuarios;
SELECT * FROM datos WHERE nombre LIKE '%';
• Método de infiltración de código intruso que se vale de una
vulnerabilidad informática presente en una aplicación en el
nivel de validación de las entradas para acceder a datos sin
autorización
8. A2.Broken Authentication and Session
Management
• Gestión de la autenticación y sesiones mal implementada
1. Sesión en URL: Compartir la URL da acceso a cualquier
http://example.com/sale/saleitems;sessionid=268544541&dest=Hawaii
2. Time out incorrecto: Equipo compartido sin cerrar sesión
3. Password en BD no codificados o salteados: Acceso a BD
implica exposición de credenciales
13. A4. Broken Access Control
• Un usuario puede acceder a datos o acciones para las que no tiene
permisos.
• La web me filtra y muestra las opciones que puedo realizar pero si
invoco al API del servidor podría mandar cualquier argumento o
acción que quisiese
14. A4. Broken Access Control
SOLUCIONES:
• Filtrar en backend las operaciones y los datos invocados por el
usuario
• No exponer nunca IDs internos en el frontend
16. A5. Security Misconfiguration
• Consola de administración no protegida o eliminada
• Passwords por defecto
• Listado de directorios no deshabilitado
• Devolver errores con trazas internas: Desvelamos detalles como
software y versiones instalados
• No borrar los ejemplos que trae el servidor de aplicaciones:
Contienen fallos muy conocidos
18. A6. Sensitive Data Exposure
• Ante manejo de datos sensibles como los médicos, financieros, …
debemos asegurarnos de que no son accesibles:
• Almacenamiento en texto plano (incluso backups)
• Trasmisión sin securizar (incluso interna: Envenenamiento
ARP)
• Algoritmo criptográfico antiguo o inseguro
• Passwords no salteados
21. A7. Insufficient Attack Protection
• Los sistemas está protegidos ante vulnerabilidades pero no ante
ataques complejos:
• Detección de herramientas de escaneo de puertos y testeo
automático de vulnerabilidades. Diferenciación frente a tráfico
manual
• Detectar invocaciones fuera de lo normal: argumentos
extraños y caracteres no comunes
• En caso de intrusión: ¿Cómo de rápido podemos detectarla,
bloquearla y parchear? TELEFÓNICA WANNA CRY
23. A8. Cross-Site Request Forgery (CSRF)
• Exploit malicioso de un sitio web en el que comandos no
autorizados son transmitidos por un usuario en el cual el sitio web
confía.
24. A8. Cross-Site Request Forgery (CSRF)
• Usuario utiliza banca online que realiza transferencias con URL:
http://example.com/app/transferFunds?amount=1500&destinationAccount=467
3243243
• Atacante construye una petición para transferir dinero a su
cuenta y la embebe en una URL de imagen o en un iframe oculto
en varias webs maliciosas
<img src="<b>http://example.com/app/transferFunds?amount=1500
&destinationAccount=attackersAcct#</b>" width="0" height="0" />
• El usuario visita la web maliciosa mientras está autenticado en su
banco
25. A8. Cross-Site Request Forgery (CSRF)
SOLUCIÓN:
• Usar frameworks protección contra CSRF
• Evitar exposición en URL de tokens de seguridad (campo hidden)
• Flag “SameSite=strict” en las cookies
32. A10. Underprotected APIs
• APIs usadas por webs Ajax y apps móviles no se protegen
adecuadamente.
• Proteger la comunicación entre cliente y API:
• Ingeniería inversa de una APP para obtener información
privilegiada de acceso al API
• Protegerse contra inyección
• Relación con A4
36. MUCHAS GRACIAS
“Passwords are like underwear: you don’t let
people see it, you should change it very often, and
you shouldn’t share it with strangers.”
– Chris Pirillo
Notas del editor
Presentaciones de nuevas personas en el centro?????????????????????