Este documento presenta el proyecto OWASP (Open Web Application Security Project). OWASP es una organización independiente dedicada a mejorar la seguridad de software mediante la publicación de guías, herramientas y estándares de código abierto. El documento describe varios proyectos de OWASP como guías, aplicaciones como WebGoat y WebScarab, y la lista de las 10 vulnerabilidades web más comunes (OWASP Top 10). También explica cómo contribuir al proyecto y menciona otros proyectos relacionados.
una explicación muy básica sobre lo que es el cifrado AES para la gente desea introducirse en este mundo.
***Cualquier comentario es bienvenido para corregir***
una explicación muy básica sobre lo que es el cifrado AES para la gente desea introducirse en este mundo.
***Cualquier comentario es bienvenido para corregir***
Las diez principales amenazas para las bases de datosImperva
La infraestructura empresarial de bases de datos está sometida a una cantidad
abrumadora de riesgos. Este documento se destina a ayudar a las organizaciones a
afrontar las más críticas de estas amenazas ofreciendo una lista de las diez principales,
identificadas por el Application Defense Center de Imperva. Por cada punto
vulnerable, este informe proporciona información a fondo, estrategias generales
de mitigación de riesgos y la protección de bases de datos que ofrece la solución
SecureSphere Database Security de Imperva.
Una serie de pasos predecibles que ayude a crear un resultado de alta calidad y a tiempo.
Es un conjunto estructurado de actividades para: Especificar, diseñar, implementar y probar software.
Objetivo: Caracterizar las actividades involucradas en el descubrimiento, documentación y mantenimiento de los requerimientos de un producto determinado conociendo de forma precisa el problema que van a resolver para que la solución que se construya sea correcta y útil.
El desarrollo ágil de software son métodos de ingeniería del software basados en el desarrollo iterativo e incremental, donde los requerimientos y soluciones evolucionan mediante la colaboración de grupos auto organizados y multidisciplinarios.
U.T.N. - F.R.T. Cátedra de Diseño de Sistemas. 3K1. 2011. Unidad VI. Verificación y Validación del Diseño. Pruebas del Software. Ian Sommerville, Cap. 23
Las diez principales amenazas para las bases de datosImperva
La infraestructura empresarial de bases de datos está sometida a una cantidad
abrumadora de riesgos. Este documento se destina a ayudar a las organizaciones a
afrontar las más críticas de estas amenazas ofreciendo una lista de las diez principales,
identificadas por el Application Defense Center de Imperva. Por cada punto
vulnerable, este informe proporciona información a fondo, estrategias generales
de mitigación de riesgos y la protección de bases de datos que ofrece la solución
SecureSphere Database Security de Imperva.
Una serie de pasos predecibles que ayude a crear un resultado de alta calidad y a tiempo.
Es un conjunto estructurado de actividades para: Especificar, diseñar, implementar y probar software.
Objetivo: Caracterizar las actividades involucradas en el descubrimiento, documentación y mantenimiento de los requerimientos de un producto determinado conociendo de forma precisa el problema que van a resolver para que la solución que se construya sea correcta y útil.
El desarrollo ágil de software son métodos de ingeniería del software basados en el desarrollo iterativo e incremental, donde los requerimientos y soluciones evolucionan mediante la colaboración de grupos auto organizados y multidisciplinarios.
U.T.N. - F.R.T. Cátedra de Diseño de Sistemas. 3K1. 2011. Unidad VI. Verificación y Validación del Diseño. Pruebas del Software. Ian Sommerville, Cap. 23
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...GeneXus
Presentaremos en sociedad a una herramienta SaaS que realiza un rápido escaneo a aplicaciones desarrolladas en GeneXus con el fin de detectar vulnerabilidades de seguridad comunes en la configuración y despliegue de las aplicaciones GeneXus JAVA y .NET.
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...GeneXus
En el último año, dos Investigadores en seguridad informática descubrieron cómo controlar una Jeep Cherokee a partir de varias vulnerabilidades en el sistema de entretenimiento. Lo curioso es, que los tipos de vulnerabilidades utilizadas se encuentran comúnmente en aplicaciones web. En esta charla explicaremos cómo funciona el ataque a la Jeep Cherokee y cómo estas técnicas pueden ser utilizadas contra una aplicación web.
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pagomarcsegarralopez
Para garantizar los mecanismos de seguridad en las aplicaciones que gestionan los datos de titulares de tarjetas de pago, en los que el riesgo de fraude es muy alto y para los que existen numerosas redes ilegales que aprovechan estos datos para un uso y beneficio ilegítimo, se hace necesario homologar las aplicaciones de pago bajo el estándar PA-DSS. Esta ponencia presentará el proceso que implica una certificación en PA DSS y como metodologías como la OWASP facilitan gran parte del cumplimiento requierido por esta norma.
Metodología Agil [SAMM] para desarrollo de sistemas con tecnologia web que incluye normas de seguridad [OWASP] para resguardar información coorporativa. [Ejemplos y Soluciones].
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...GeneXus
La seguridad es un aspecto fundamental que todo equipo de desarrollo debe considerar. Muchas veces, este punto no está debidamente abordado en el ciclo de desarrollo, generando potenciales vulnerabilidades y exponiendo el negocio a grandes perjuicios. Las soluciones de K2BTools, tienen en cuenta la seguridad como uno de sus puntos prioritarios.
OWASP WTE, or OWASP Web Testing Environment, is a collection of application security tools and documentation available in multiple formats such as VMs, Linux distribution packages, Cloud-based installations and ISO images.
This presentation provides an overview and history of OWASP WTE. Additionally, it shows new OWASP WTE developments including the the ability to use WTE remotely by installing it on a cloud-based server.
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
VI Foro de Seguridad de RedIRIS que se focalizó en la seguridad a nivel de aplicación. En esta ocasión, se impartió la conferencia "OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza.".
Construir software seguro siempre debería haber sido una necesidad en cualquier proyecto de desarrollo y los requerimientos de seguridad deberían haber sido contemplados con la misma prioridad que los requerimientos funcionales. La presentación expone, entre otros muchos temas, recursos de OWASP y cómo pueden ayudarnos para la consecución de nuestro objetivo: la creación de software seguro.
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
Presentación sobre el Top 10 de Riesgos en Aplicaciones Web de Vicente Aguilera dentro del congreso ADWYS CON 11. La presentación desarrolló las 10 amenazas más frecuentes para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.
DevSecOps ya no es una estrategia de nicho que pasa a segundo plano en DevOps, ahora es un movimiento de masas.
El año 2020 ha estado marcado por el rápido progreso de los paradigmas de DevOps transformadores, tales como: codesarrollo en comunidades globales, agnosticismo de plataforma, computación sin servidor, infraestructura como código, espacio de trabajo de extremo a extremo con experiencia unificada en todo el software. ciclo vital. Esa transformación de DevOps ha ofrecido una oportunidad única para la seguridad de las aplicaciones. Por primera vez en una década, es realista crear e integrar seguridad en un DevOps completo, convirtiéndolo así en DevSecOps. La ausencia de DevOps unificado, junto con la ausencia de herramientas nativas, fue un obstáculo para Sec. Ahora, el obstáculo se ha ido. DevOps ha dado un paso crítico hacia DevSecOps, que comenzó a ofrecer sus propias tecnologías de seguridad de aplicaciones.
Expositor: Pablo Alzuri
Resumen:
Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo?
En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.
El software inseguro está minando las infraestructuras críticas financieras, de salud, defensa, energía y otras. Conforme el software incrementa su complejidad y capacidad de conexión, la dificultad para alcanzar la seguridad en las aplicaciones se incrementa de manera exponencial. El veloz ritmo de los procesos modernos para el desarrollo del software, hacen los riesgos más comunes sean esenciales de descubrir y resolver rápidamente de manera precisa. Ya no es permisible tolerar problemas de seguridad relativamente simples como los presentados en este OWASP TOP 10.
Aunque el objetivo original del proyecto OWASP TOP 10 fue simplemente crear conciencia entre los desarrolladores y gerentes, se ha convertido en un estándar de facto para seguridad en aplicaciones.
En esta nueva versión del OWASP TOP 10 2017, los problemas y recomendaciones están escritas de una forma concisa y de manera comprobable, para ayudar con la adopción del OWASP TOP 10 en los programas de seguridad en aplicaciones. Se alienta a las organizaciones a utilizar el Estándar de Verificación para la Seguridad de Aplicaciones (ASVS) de OWASP si se requiere un verdadero estándar, pero para la mayoría el OWASP TOP 10 es un gran inicio en el camino de la seguridad en aplicaciones.
Este curso diseñado para ayudar a los desarrolladores a realizar código de software seguro, utilizando SDL y OWASP 2013. Se analizan modelos de riesgo para analizar si el código es o no seguro. Si desea recibir este curso puede contactarse en www.puntonetsoluciones.com.ar.
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
2. El conferenciante
Javier Fernández-Sanguino <jfernandez@germinus.com>
Consultor y jefe de proyecto en la división de seguridad IT de
Germinus XXI, S.A.
Ingeniero de Telecomunicación por la ETSIT-UPM,
Miembro de diversos grupos de desarrollo de software libre
dentro del proyecto Debian, y de los de diversas herramientas
de seguridad, entre otras: Tiger, Nessus, y Bastille.
Miembro fundador del grupo español de la Honeynet Alliance
Miembro del grupo OWASP Testing
Página 1
3. El proyecto OWASP
Presentación del Proyecto OWASP
-Introducción
-Historia
-Proyectos OWASP
- Orientación y enfoque
- Guías y metodologías: OWASP Top 10, OWASP Guide y OWASP Testing
Guide
- Aplicaciones: WebScarab y Webgoat
[DEMO]
-Cómo contribuir al proyecto
-Otros proyectos relacionados
-Referencias útiles
Página 2
4. El proyecto OWASP - Introducción
¿Qué es el proyecto OWASP?
Una organización independiente dedicada a encontrar y luchar contra las causas del
software inseguro. Organizado en proyectos y capítulos locales repartidos por todo
el mundo que desarrollan documentación, herramientas y estándares de fuentes
abiertas (GPL, GFDL, LGPL). Está abierta a la participación de cualquier persona y
patrocinador.
Sponsors:
Orientación del proyecto
Intentar que el mundo produzca mejores programas. Mediante:
-El desarrollo de herramientas útiles para identificar los fallos y
corregirlos.
-La educación de los grupos involucrados, para evitar que se
produzcan fallos.
-La definición de estándares.
-El fomento de la discusión de problemas a través de una comunidad
abierta.
Página 3
5. Orientación OWASP - Ciclo de desarrollo seguro
Diseñar Construir Desplegar Operar Descartar
Pruebas de Análisis estático Pruebas de
seguridad (herramientas) intrusión
Casos de abuso Análisis de Revisión en base al Problemas
Requisitos de riesgos externa riesgo Análisis de
riesgos de
seguridad seguridad
Requisitos y Diseño Código Resultados
Planes de Análisis de
casos de uso de las
prueba despliegue
pruebas
Página 4
6. Orientación OWASP - ¿Por qué?
¿Cuándo arreglar vulnerabilidades?
• Es mejor identificar, buscar y arreglar los problemas de seguridad lo antes posible.
• Cuanto más tarde se arregle un problema el coste será mayor.
• Si se arreglan pronto se evitan también los costes de mantenimiento (parches)
Retorno de inversión en el arreglo de
vulnerabilidades web
25
21
20
15
15 12
10
5
0
Diseño Implementación Pruebas
Fuente: “Tangible ROI through software engineering” SBQ, vol 1, nº 2
Página 5
7. El proyecto OWASP - Historia
Septiembre 2001: Arranca el proyecto Abril 2005: Conferencia OWASP Appsec,
OWASP Londres
Junio 2002: OWASP Guide to Building Secure Julio 2005: OWASP Guide 2.0 (Black Hat)
Web Applications (~90 pgs) (~300 pgs)
Octubre 2002: VulnXML, WebScarab Octubre 2005: Conferencia OWASP Appsec,
Washington DC
Enero 2003: OWASP Top Ten, primera
versión Estado actual
Abril 2003: Codeseeker Nuevos proyectos para el 2005: OWASP
Standard, OWASP Legal (contratación,
Enero 2004: OWASP Top Ten, Proyectos
regulación, RFPs), J2EE y Web Services
beta: OWASP Labs
(guías, metodologías y herramientas)
Junio 2004: Conferencia OWASP Appsec, NY
Abril 2004: OWASP PenTest checklist
Diciembre 2004: OWASP Testing Guide
Febrero 2005: OWASP Top Ten introducido
en "Payment Card Industry Data Security
Standard“ de VISA
Página 6
8. El proyecto OWASP - Proyectos en la actualidad
Desarrollo: Documentos y Guías:
WebGoat Activo Legal Activo
WebScarab Activo Guide Activo
DotNet Activo Publicaciones Activo
Validation Parado Testing Dudoso
oLabs Parado Métricas Parado
Miscelánea: AppSec FAQ Parado
Capítulos Locales Muy activos Top Ten Parado
Internacional Activo ISO17799 Parado
Conferencias Activo
Página 7
9. OWASP “Top Ten”
Vulnerabilidades más frecuentes según OWASP
Esta es la lista de problemas que dan lugar a vulnerabilidades de seguridad en el desarrollo web más
frecuentes según el proyecto OWASP:
• A1 Validación incorrecta de parámetros de entrada.
• A2 Errores en el control de acceso.
• A3 Errores en la autenticación y gestión de sesiones.
• A4 Guiones a través del servidor (XSS).
• A5 Sobrecarga de búfer.
• A6 Inyección de código.
• A7 Gestión inapropiada de los errores.
• A8 Almacenamiento no seguro.
• A9 Denegación de servicio.
• A10 Gestión incorrecta de configuración (de servidores de web y de aplicaciones)
Traducido a cinco idiomas.
http://www.owasp.org/documentation/topten.html
Página 8
10. OWASP Guide
OWASP Guide
Manual para diseñar, desarrollar y desplegar aplicaciones web, y dirigada a arquitectos de sistemas,
programadores, consultores y auditores. Actualmente llega casi a las 300 páginas.Desde el 2002 se
han descargado más de dos millones de copias y está ampliamente referenciada en estándares
gubernamentales, financieros y corporativos.
Trata: Formas canónicas y tratamiento de codificaciones
Unicode
Arquitecturas web
Despliegue y configuración
Mecanismos de autenticación
Mecanismos de control de acceso
Mecanismos de gestión de sesiones
Mecanismos de registro y auditoría
Validación de datos
Problemas de inyección (código, XSS, SQL,
XML, LDAP...)
Privacidad
Criptografía
http://www.owasp.org/documentation/guide.html
Página 9
11. OWASP Testing Guide
OWASP Testing Guide
Guía para definir una metodología de pruebas de seguridad en aplicaciones web pero no enfocada a
las pruebas de intrusión sino al ámbito del ciclo de vida de desarrollo de software e introduciendo
actividades de pruebas como la definición de modelos de riesgo, la revisión de código fuente y las
pruebas de intrusión.
Documentos producidos hasta la fecha:
•OWASP Testing Guide (phase 1) – introducción a la metodología
•OWASP Web Application Penetration Checklist – pruebas de intrusión y metodología
Information Gathering
- Harvest Information on the infrastructure and web
environment
En desarrollo: segunda fase de la guía de
- Harvest Information of the interactive applications and
dynamic content generation used
Tester - Produce results for start of test
pruebas: No
Have
No
Go through each phase to test
for individual weaknesses:
- Input Validation
- Session Manipulation
- Logon Process, etc.
Have Yes all attack methods
all possible tests been exhausted and
been executed? investigated?
•descripción detallada de vulnerabilidades No
Has a
No possible
vulnerability been detected?
(Programming error, configuration
• riesgos asociados
error or system
Did the vulnerability)
attack succeed?
Yes
Yes No
Attack target
•pruebas y mecanismos para detectarlas
directed to
exploit
Make a risk assessment vulnerability
of the vulnerability
Yes
Yes
•caja blanca Can the
vulnerability
compromise
the service?
No
Is internal
information leaked? (Source
code fragments implementation
information, etc.)
Yes
•caja negra.
Yes
Results:
- Tested and succeeded vulnerabilities
- Detailed impact and consequences Generate an
Yes Is the
of vulnerabilities in web service alert and
information business
contact the
critical?
Organization
No
http://www.owasp.org/documentation/testing.html
Página 10
12. OWASP - WebGoat y WebScarab
OWASP WebGoat
Aplicación J2EE basada en Tomcat desarrollada para enseñar los problemas de aplicaciones web a
través de lecciones en las que se simulan vulnerabilidades en un servidor:
-Pruebas de inyección SQL, XSS
-Manipulación de campos ocultos
-Identificadores de sesión débiles
-....
http://www.owasp.org/software/webgoat.html
OWASP Webscarab
Herramienta multiplataforma (Java) para realizar pruebas de aplicaciones
web funcionando como proxy interceptor:
-Registra todos los accesos (documentación)
-Modificación arbitraria de peticiones y respuestas
-Extensible a través de complementos: análisis de identificadores de sesión,
pruebas automáticas de parámetros (fuzzer), consultas SOAP
http://www.owasp.org/software/webscarab.html
Aunque no es la única herramienta de estas características (httpush, paros,
spikeproxy...)
Página 11
14. Cómo contribuir / Trabajos futuros
Contribuir con el proyecto OWASP:
El proyecto no sólo está abierto a contribuciones sino que las necesita.
Contribuir es sencillo, se puede hacer:
-Enviando comentarios sobre las guías y documentación disponibles
-Probando las aplicaciones, reportando erratas y extendiéndolas
-Patrocinando un proyecto (€€€)
Trabajos futuros
Los trabajos que quieren desarrollarse a lo largo del próximo año:
-Versión 2.1 de OWASP Guide en desarrollo (publicada en papel)
-Fase 2 de la OWASP Testing Guide
-OWASP Legal – definir la contratación, regulación, y RFPs
-Nuevas guías, metodologías y herramientas enfocadas a J2EE y Web
Services (.NET está ya cubierto)
Y el desarrollo de la fundación OWASP, con el objetivo de dar sostenibilidad al
proyecto.
Página 13
15. Otros proyectos
Otros proyectos relacionados
Existen otros proyectos e iniciativas con cierto solape que merece la pena mencionar:
-OASIS Web Application Security (WAS) project, http://www.oasis-
open.org/committees/tc_home.php?wg_abbrev=was
-OASIS Application Vulnerability Description Language (AVDL), http://www.oasis-
open.org/committees/tc_home.php?wg_abbrev=avdl
-Web Application Security Consortium (WASC), http://www.webappsec.org/
-Algunos manuales genéricos de pruebas de intrusión, como el Open Source Security Testing
Methodology Manual (OSSTMM de ISECOM, http://www.isecom.org/osstmm/) o el,
Information Systems Security Assessment Framework (ISSAF de OSSIG,
http://www.oissg.org/ ), cuentan con una sección dedicada a las pruebas sobre aplicaciones
web
No son necesariamente competencia y en algunos casos son complementarios con los
trabajos desarrollados dentro de OWASP.
Página 14
16. Referencias de utilidad
Algunas referencias ya comentadas:
Proyecto OWASP
http://www.owasp.org/
Proyecto OWASP en Sourceforge
http://sourceforge.net/projects/owasp
Y algunas nuevas: Listas de correo:
Build Security In Portal owasp-guide@sourceforge
https://buildsecurityin.us-cert.gov/portal/ owasp-testing@sourceforge
Secure Coding: Principles and Practices owasp-topten@sourceforge
http://www.securecoding.org/ owasp-dotnet@sourceforge
CGI Security webappsec@securityfocus.com
http://www.cgisecurity.net/ pen-test@securityfocus.com
WWW Security FAQ
http://www.w3.org/Security/Faq/
Secure Programming for UNIX and Linux HOWTO
http://www.dwheeler.com/secure-programs/
Página 15
17. Libros recomendados
Libros recomendados:
Apache Security, Ivan Ristic, ISBN-0596007248
Core Security Patterns : Best Practices and Strategies for
J2EE(TM), Web Services, and Identity Management (Core) ,
Christopher Steel, Ramesh Nagappan, Ray Lai, ISBN-
0131463071
J2EE Security for Servlets EJBS and Web Services , Pankaj
Kumar, ISBN-0131402641
Essential PHP Security, Chris Shiflett, ISBN-059600656X
Building Secure Software: How to Avoid Security Problems the
Right Way, John Viega, Gary McGraw, 020172152X
Secure Coding, Principles and Practices, Mark G. Graff, Kenneth
R.Van Wyk, ISBN-0596002424
Exploiting Software, Greg Hoglund, Gary McGraw, ISBN-
0201786958
Security Engineering: A Guide to Building Dependable Distributed
Systems, Ross J. Anderson, ISBN-0471389226
Página 16