SlideShare una empresa de Scribd logo

OWASP

Conferencias FIST
Conferencias FIST

Este documento presenta el proyecto OWASP (Open Web Application Security Project). OWASP es una organización independiente dedicada a mejorar la seguridad de software mediante la publicación de guías, herramientas y estándares de código abierto. El documento describe varios proyectos de OWASP como guías, aplicaciones como WebGoat y WebScarab, y la lista de las 10 vulnerabilidades web más comunes (OWASP Top 10). También explica cómo contribuir al proyecto y menciona otros proyectos relacionados.

1 de 19
Descargar para leer sin conexión
OWASP – presentación del proyecto Madrid, diciembre 2005
El conferenciante Javier Fernández-Sanguino <jfernandez@germinus.com> Consultor y jefe de proyecto en la división de seguridad IT de Germinus XXI, S.A. Ingeniero de Telecomunicación por la ETSIT-UPM, Miembro de diversos grupos de desarrollo de software libre dentro del proyecto Debian, y de los de diversas herramientas de seguridad, entre otras: Tiger, Nessus, y Bastille. Miembro fundador del grupo español de la Honeynet Alliance Miembro del grupo OWASP Testing Página 1
El proyecto OWASP Presentación del Proyecto OWASP -Introducción -Historia -Proyectos OWASP - Orientación y enfoque - Guías y metodologías: OWASP Top 10, OWASP Guide y OWASP Testing Guide - Aplicaciones: WebScarab y Webgoat [DEMO] -Cómo contribuir al proyecto -Otros proyectos relacionados -Referencias útiles Página 2
El proyecto OWASP - Introducción ¿Qué es el proyecto OWASP? Una organización independiente dedicada a encontrar y luchar contra las causas del software inseguro. Organizado en proyectos y capítulos locales repartidos por todo el mundo que desarrollan documentación, herramientas y estándares de fuentes abiertas (GPL, GFDL, LGPL). Está abierta a la participación de cualquier persona y patrocinador. Sponsors: Orientación del proyecto Intentar que el mundo produzca mejores programas. Mediante: -El desarrollo de herramientas útiles para identificar los fallos y corregirlos. -La educación de los grupos involucrados, para evitar que se produzcan fallos. -La definición de estándares. -El fomento de la discusión de problemas a través de una comunidad abierta. Página 3
Orientación OWASP - Ciclo de desarrollo seguro Diseñar Construir Desplegar Operar Descartar Pruebas de Análisis estático Pruebas de seguridad (herramientas) intrusión Casos de abuso Análisis de Revisión en base al Problemas Requisitos de riesgos externa riesgo Análisis de riesgos de seguridad seguridad Requisitos y Diseño Código Resultados Planes de Análisis de casos de uso de las prueba despliegue pruebas Página 4
Orientación OWASP - ¿Por qué? ¿Cuándo arreglar vulnerabilidades? • Es mejor identificar, buscar y arreglar los problemas de seguridad lo antes posible. • Cuanto más tarde se arregle un problema el coste será mayor. • Si se arreglan pronto se evitan también los costes de mantenimiento (parches) Retorno de inversión en el arreglo de vulnerabilidades web 25 21 20 15 15 12 10 5 0 Diseño Implementación Pruebas Fuente: “Tangible ROI through software engineering” SBQ, vol 1, nº 2 Página 5
El proyecto OWASP - Historia Septiembre 2001: Arranca el proyecto Abril 2005: Conferencia OWASP Appsec, OWASP Londres Junio 2002: OWASP Guide to Building Secure Julio 2005: OWASP Guide 2.0 (Black Hat) Web Applications (~90 pgs) (~300 pgs) Octubre 2002: VulnXML, WebScarab Octubre 2005: Conferencia OWASP Appsec, Washington DC Enero 2003: OWASP Top Ten, primera versión Estado actual Abril 2003: Codeseeker Nuevos proyectos para el 2005: OWASP Standard, OWASP Legal (contratación, Enero 2004: OWASP Top Ten, Proyectos regulación, RFPs), J2EE y Web Services beta: OWASP Labs (guías, metodologías y herramientas) Junio 2004: Conferencia OWASP Appsec, NY Abril 2004: OWASP PenTest checklist Diciembre 2004: OWASP Testing Guide Febrero 2005: OWASP Top Ten introducido en "Payment Card Industry Data Security Standard“ de VISA Página 6
El proyecto OWASP - Proyectos en la actualidad Desarrollo: Documentos y Guías: WebGoat Activo Legal Activo WebScarab Activo Guide Activo DotNet Activo Publicaciones Activo Validation Parado Testing Dudoso oLabs Parado Métricas Parado Miscelánea: AppSec FAQ Parado Capítulos Locales Muy activos Top Ten Parado Internacional Activo ISO17799 Parado Conferencias Activo Página 7
OWASP “Top Ten” Vulnerabilidades más frecuentes según OWASP Esta es la lista de problemas que dan lugar a vulnerabilidades de seguridad en el desarrollo web más frecuentes según el proyecto OWASP: • A1 Validación incorrecta de parámetros de entrada. • A2 Errores en el control de acceso. • A3 Errores en la autenticación y gestión de sesiones. • A4 Guiones a través del servidor (XSS). • A5 Sobrecarga de búfer. • A6 Inyección de código. • A7 Gestión inapropiada de los errores. • A8 Almacenamiento no seguro. • A9 Denegación de servicio. • A10 Gestión incorrecta de configuración (de servidores de web y de aplicaciones) Traducido a cinco idiomas. http://www.owasp.org/documentation/topten.html Página 8
OWASP Guide OWASP Guide Manual para diseñar, desarrollar y desplegar aplicaciones web, y dirigada a arquitectos de sistemas, programadores, consultores y auditores. Actualmente llega casi a las 300 páginas.Desde el 2002 se han descargado más de dos millones de copias y está ampliamente referenciada en estándares gubernamentales, financieros y corporativos. Trata: Formas canónicas y tratamiento de codificaciones Unicode Arquitecturas web Despliegue y configuración Mecanismos de autenticación Mecanismos de control de acceso Mecanismos de gestión de sesiones Mecanismos de registro y auditoría Validación de datos Problemas de inyección (código, XSS, SQL, XML, LDAP...) Privacidad Criptografía http://www.owasp.org/documentation/guide.html Página 9
OWASP Testing Guide OWASP Testing Guide Guía para definir una metodología de pruebas de seguridad en aplicaciones web pero no enfocada a las pruebas de intrusión sino al ámbito del ciclo de vida de desarrollo de software e introduciendo actividades de pruebas como la definición de modelos de riesgo, la revisión de código fuente y las pruebas de intrusión. Documentos producidos hasta la fecha: •OWASP Testing Guide (phase 1) – introducción a la metodología •OWASP Web Application Penetration Checklist – pruebas de intrusión y metodología Information Gathering - Harvest Information on the infrastructure and web environment En desarrollo: segunda fase de la guía de - Harvest Information of the interactive applications and dynamic content generation used Tester - Produce results for start of test pruebas: No Have No Go through each phase to test for individual weaknesses: - Input Validation - Session Manipulation - Logon Process, etc. Have Yes all attack methods all possible tests been exhausted and been executed? investigated? •descripción detallada de vulnerabilidades No Has a No possible vulnerability been detected? (Programming error, configuration • riesgos asociados error or system Did the vulnerability) attack succeed? Yes Yes No Attack target •pruebas y mecanismos para detectarlas directed to exploit Make a risk assessment vulnerability of the vulnerability Yes Yes •caja blanca Can the vulnerability compromise the service? No Is internal information leaked? (Source code fragments implementation information, etc.) Yes •caja negra. Yes Results: - Tested and succeeded vulnerabilities - Detailed impact and consequences Generate an Yes Is the of vulnerabilities in web service alert and information business contact the critical? Organization No http://www.owasp.org/documentation/testing.html Página 10
OWASP - WebGoat y WebScarab OWASP WebGoat Aplicación J2EE basada en Tomcat desarrollada para enseñar los problemas de aplicaciones web a través de lecciones en las que se simulan vulnerabilidades en un servidor: -Pruebas de inyección SQL, XSS -Manipulación de campos ocultos -Identificadores de sesión débiles -.... http://www.owasp.org/software/webgoat.html OWASP Webscarab Herramienta multiplataforma (Java) para realizar pruebas de aplicaciones web funcionando como proxy interceptor: -Registra todos los accesos (documentación) -Modificación arbitraria de peticiones y respuestas -Extensible a través de complementos: análisis de identificadores de sesión, pruebas automáticas de parámetros (fuzzer), consultas SOAP http://www.owasp.org/software/webscarab.html Aunque no es la única herramienta de estas características (httpush, paros, spikeproxy...) Página 11
Demo Demo ¿saldrá todo bien? Página 12
Cómo contribuir / Trabajos futuros Contribuir con el proyecto OWASP: El proyecto no sólo está abierto a contribuciones sino que las necesita. Contribuir es sencillo, se puede hacer: -Enviando comentarios sobre las guías y documentación disponibles -Probando las aplicaciones, reportando erratas y extendiéndolas -Patrocinando un proyecto (€€€) Trabajos futuros Los trabajos que quieren desarrollarse a lo largo del próximo año: -Versión 2.1 de OWASP Guide en desarrollo (publicada en papel) -Fase 2 de la OWASP Testing Guide -OWASP Legal – definir la contratación, regulación, y RFPs -Nuevas guías, metodologías y herramientas enfocadas a J2EE y Web Services (.NET está ya cubierto) Y el desarrollo de la fundación OWASP, con el objetivo de dar sostenibilidad al proyecto. Página 13
Otros proyectos Otros proyectos relacionados Existen otros proyectos e iniciativas con cierto solape que merece la pena mencionar: -OASIS Web Application Security (WAS) project, http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=was -OASIS Application Vulnerability Description Language (AVDL), http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=avdl -Web Application Security Consortium (WASC), http://www.webappsec.org/ -Algunos manuales genéricos de pruebas de intrusión, como el Open Source Security Testing Methodology Manual (OSSTMM de ISECOM, http://www.isecom.org/osstmm/) o el, Information Systems Security Assessment Framework (ISSAF de OSSIG, http://www.oissg.org/ ), cuentan con una sección dedicada a las pruebas sobre aplicaciones web No son necesariamente competencia y en algunos casos son complementarios con los trabajos desarrollados dentro de OWASP. Página 14
Referencias de utilidad Algunas referencias ya comentadas: Proyecto OWASP http://www.owasp.org/ Proyecto OWASP en Sourceforge http://sourceforge.net/projects/owasp Y algunas nuevas: Listas de correo: Build Security In Portal owasp-guide@sourceforge https://buildsecurityin.us-cert.gov/portal/ owasp-testing@sourceforge Secure Coding: Principles and Practices owasp-topten@sourceforge http://www.securecoding.org/ owasp-dotnet@sourceforge CGI Security webappsec@securityfocus.com http://www.cgisecurity.net/ pen-test@securityfocus.com WWW Security FAQ http://www.w3.org/Security/Faq/ Secure Programming for UNIX and Linux HOWTO http://www.dwheeler.com/secure-programs/ Página 15
Libros recomendados Libros recomendados: Apache Security, Ivan Ristic, ISBN-0596007248 Core Security Patterns : Best Practices and Strategies for J2EE(TM), Web Services, and Identity Management (Core) , Christopher Steel, Ramesh Nagappan, Ray Lai, ISBN- 0131463071 J2EE Security for Servlets EJBS and Web Services , Pankaj Kumar, ISBN-0131402641 Essential PHP Security, Chris Shiflett, ISBN-059600656X Building Secure Software: How to Avoid Security Problems the Right Way, John Viega, Gary McGraw, 020172152X Secure Coding, Principles and Practices, Mark G. Graff, Kenneth R.Van Wyk, ISBN-0596002424 Exploiting Software, Greg Hoglund, Gary McGraw, ISBN- 0201786958 Security Engineering: A Guide to Building Dependable Distributed Systems, Ross J. Anderson, ISBN-0471389226 Página 16
Fin Gracias por vuestra atención Página 17
¿Preguntas? ¿? Página 18

Recomendados

Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Tabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloTabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloitsarellano
 
Sencilla explicación sobre AES
Sencilla explicación sobre AESSencilla explicación sobre AES
Sencilla explicación sobre AES
Elvis Vinda
 
Java
JavaJava
Java
guest1debbb
 
Prueba de Caja Blanca
Prueba de Caja BlancaPrueba de Caja Blanca
Prueba de Caja Blanca
Ignacio Vergara
 
Algoritmo aes
Algoritmo aesAlgoritmo aes
Algoritmo aes
James LexLer
 
Modelado UML de sistema punto venta
Modelado UML de sistema punto ventaModelado UML de sistema punto venta
Modelado UML de sistema punto venta
Rafael Diaz
 

Recomendados

Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Tabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloTabla comparativa- metodologías de desarrollo
Tabla comparativa- metodologías de desarrolloitsarellano
 
Sencilla explicación sobre AES
Sencilla explicación sobre AESSencilla explicación sobre AES
Sencilla explicación sobre AES
Elvis Vinda
 
Java
JavaJava
Java
guest1debbb
 
Prueba de Caja Blanca
Prueba de Caja BlancaPrueba de Caja Blanca
Prueba de Caja Blanca
Ignacio Vergara
 
Algoritmo aes
Algoritmo aesAlgoritmo aes
Algoritmo aes
James LexLer
 
Modelado UML de sistema punto venta
Modelado UML de sistema punto ventaModelado UML de sistema punto venta
Modelado UML de sistema punto venta
Rafael Diaz
 
Ingeniería inversa y reingeniería de software
Ingeniería inversa y reingeniería de softwareIngeniería inversa y reingeniería de software
Ingeniería inversa y reingeniería de software
Moises Medina
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
YairTobon
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Red
msma
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
Imperva
 
Planificacion de software - Sistemas II
Planificacion de software - Sistemas IIPlanificacion de software - Sistemas II
Planificacion de software - Sistemas II
John Anthony Peraza
 
3. Análisis de Requerimientos
3. Análisis de Requerimientos3. Análisis de Requerimientos
3. Análisis de Requerimientos
Mario A Moreno Rocha
 
Evaluación calidad productos de software
Evaluación calidad productos de softwareEvaluación calidad productos de software
Evaluación calidad productos de software
Jorge Maturana Palma
 
2. El proceso del software
2. El proceso del software2. El proceso del software
2. El proceso del software
Luis Fernandez Vizcarra
 
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientosIDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
Franklin Parrales Bravo
 
Sistemas críticos - Ingeniería de Sistemas
Sistemas críticos - Ingeniería de SistemasSistemas críticos - Ingeniería de Sistemas
Sistemas críticos - Ingeniería de Sistemas
Uniminuto - San Francisco
 
4. Desarrollo ágil de software
4. Desarrollo ágil de software4. Desarrollo ágil de software
4. Desarrollo ágil de software
Coesi Consultoria
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del Software
Juan Pablo Bustos Thames
 
Metodologias de desarrollo
Metodologias de desarrolloMetodologias de desarrollo
Metodologias de desarrolloHermes Romero
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwareMiluska Azabache Gonzales
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Software
aracelij
 
Rad (desarrollo rápido de aplicaciones)
Rad (desarrollo rápido de aplicaciones)Rad (desarrollo rápido de aplicaciones)
Rad (desarrollo rápido de aplicaciones)
Jenyfer Utitiaja
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
Miguel Angel Marin Naranjo
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
Construccion y Pruebas de Software
Construccion y Pruebas de SoftwareConstruccion y Pruebas de Software
Construccion y Pruebas de SoftwareGustavo Bazan Maal
 
Rational Rose
Rational RoseRational Rose
Rational Rose
Viviana Hidalgo
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 

Más contenido relacionado

La actualidad más candente

Ingeniería inversa y reingeniería de software
Ingeniería inversa y reingeniería de softwareIngeniería inversa y reingeniería de software
Ingeniería inversa y reingeniería de software
Moises Medina
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
YairTobon
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Red
msma
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
Imperva
 
Planificacion de software - Sistemas II
Planificacion de software - Sistemas IIPlanificacion de software - Sistemas II
Planificacion de software - Sistemas II
John Anthony Peraza
 
3. Análisis de Requerimientos
3. Análisis de Requerimientos3. Análisis de Requerimientos
3. Análisis de Requerimientos
Mario A Moreno Rocha
 
Evaluación calidad productos de software
Evaluación calidad productos de softwareEvaluación calidad productos de software
Evaluación calidad productos de software
Jorge Maturana Palma
 
2. El proceso del software
2. El proceso del software2. El proceso del software
2. El proceso del software
Luis Fernandez Vizcarra
 
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientosIDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
Franklin Parrales Bravo
 
Sistemas críticos - Ingeniería de Sistemas
Sistemas críticos - Ingeniería de SistemasSistemas críticos - Ingeniería de Sistemas
Sistemas críticos - Ingeniería de Sistemas
Uniminuto - San Francisco
 
4. Desarrollo ágil de software
4. Desarrollo ágil de software4. Desarrollo ágil de software
4. Desarrollo ágil de software
Coesi Consultoria
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del Software
Juan Pablo Bustos Thames
 
Metodologias de desarrollo
Metodologias de desarrolloMetodologias de desarrollo
Metodologias de desarrolloHermes Romero
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Software
aracelij
 
Rad (desarrollo rápido de aplicaciones)
Rad (desarrollo rápido de aplicaciones)Rad (desarrollo rápido de aplicaciones)
Rad (desarrollo rápido de aplicaciones)
Jenyfer Utitiaja
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
Miguel Angel Marin Naranjo
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
Construccion y Pruebas de Software
Construccion y Pruebas de SoftwareConstruccion y Pruebas de Software
Construccion y Pruebas de SoftwareGustavo Bazan Maal
 
Rational Rose
Rational RoseRational Rose
Rational Rose
Viviana Hidalgo
 

La actualidad más candente (20)

Ingeniería inversa y reingeniería de software
Ingeniería inversa y reingeniería de softwareIngeniería inversa y reingeniería de software
Ingeniería inversa y reingeniería de software
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Red
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
 
Planificacion de software - Sistemas II
Planificacion de software - Sistemas IIPlanificacion de software - Sistemas II
Planificacion de software - Sistemas II
 
3. Análisis de Requerimientos
3. Análisis de Requerimientos3. Análisis de Requerimientos
3. Análisis de Requerimientos
 
Evaluación calidad productos de software
Evaluación calidad productos de softwareEvaluación calidad productos de software
Evaluación calidad productos de software
 
2. El proceso del software
2. El proceso del software2. El proceso del software
2. El proceso del software
 
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientosIDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
IDR Unidad 1: Introducción y proceso de Ingeniería de requerimientos
 
Sistemas críticos - Ingeniería de Sistemas
Sistemas críticos - Ingeniería de SistemasSistemas críticos - Ingeniería de Sistemas
Sistemas críticos - Ingeniería de Sistemas
 
4. Desarrollo ágil de software
4. Desarrollo ágil de software4. Desarrollo ágil de software
4. Desarrollo ágil de software
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del Software
 
Metodologias de desarrollo
Metodologias de desarrolloMetodologias de desarrollo
Metodologias de desarrollo
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de software
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Software
 
Rad (desarrollo rápido de aplicaciones)
Rad (desarrollo rápido de aplicaciones)Rad (desarrollo rápido de aplicaciones)
Rad (desarrollo rápido de aplicaciones)
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Construccion y Pruebas de Software
Construccion y Pruebas de SoftwareConstruccion y Pruebas de Software
Construccion y Pruebas de Software
 
Rational Rose
Rational RoseRational Rose
Rational Rose
 

Destacado

Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
Camilo Fernandez
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
Fabio Cerullo
 
Proteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlcProteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlcPablo Romanos
 
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
GeneXus
 
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
GeneXus
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
marcsegarralopez
 
Samm owasp
Samm owaspSamm owasp
Samm owasp
Software Guru
 
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
GeneXus
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturasSamis Ambrocio
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013
tmd800
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!
Matt Tesauro
 
Matematica 10
Matematica 10Matematica 10
Matematica 10casa
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicaspeke dani
 
Matematica 9
Matematica 9Matematica 9
Matematica 9casa
 

Destacado (17)

Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Proteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlcProteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlc
 
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
 
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
 
Samm owasp
Samm owaspSamm owasp
Samm owasp
 
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturas
 
Owasp Top10 FireFox
Owasp Top10 FireFoxOwasp Top10 FireFox
Owasp Top10 FireFox
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!
 
Matematica 10
Matematica 10Matematica 10
Matematica 10
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicas
 
Matematica 9
Matematica 9Matematica 9
Matematica 9
 

Similar a OWASP

Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
EdwardZarate2
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Internet Security Auditors
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
Internet Security Auditors
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
Internet Security Auditors
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
Alonso Caballero
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
eliseo ortiz
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
TestingUy
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
fosoSSS
 
Owasp
OwaspOwasp
Owasp
Tensor
 
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPHerramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Alvaro Machaca Tola
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
davimoryz
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web securityLuis Toscano
 
Osum
OsumOsum
Osum
sefsinalas
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
Alonso Caballero
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Enrique Gustavo Dutra
 

Similar a OWASP (20)

Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)
 
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
 
Owasp
OwaspOwasp
Owasp
 
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPHerramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web security
 
Osum
OsumOsum
Osum
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 

Más de Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

Más de Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Último

Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
AMADO SALVADOR
 
Computacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajasComputacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajas
sofiahuarancabellido
 
absorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratoriosabsorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratorios
JuanAlvarez413513
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
HERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptxHERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptx
maralache30
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
yuki22434
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
AMADO SALVADOR
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
LilibethEstupian
 
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSATMANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
Ing. Julio Iván Mera Casas
 
Presentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The CleanPresentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The Clean
juanchogame18
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
ValeriaAyala48
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
actividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañerosactividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañeros
aljitagallego
 
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
SERVANDOBADILLOPOLEN
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
AMADO SALVADOR
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
Todo sobre Minirobotica. Revista Saber Electronica
Todo sobre Minirobotica. Revista Saber ElectronicaTodo sobre Minirobotica. Revista Saber Electronica
Todo sobre Minirobotica. Revista Saber Electronica
Carlos Carlosnoemi
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 

Último (20)

Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
 
Computacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajasComputacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajas
 
absorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratoriosabsorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratorios
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
HERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptxHERRAMIENTAS WEB--------------------.pptx
HERRAMIENTAS WEB--------------------.pptx
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
 
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSATMANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
MANUAL DEL DECODIFICADOR DVB S2. PARA VSAT
 
Presentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The CleanPresentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The Clean
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
actividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañerosactividad 2 tecnologia (3).pdf junto con mis compañeros
actividad 2 tecnologia (3).pdf junto con mis compañeros
 
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
Todo sobre Minirobotica. Revista Saber Electronica
Todo sobre Minirobotica. Revista Saber ElectronicaTodo sobre Minirobotica. Revista Saber Electronica
Todo sobre Minirobotica. Revista Saber Electronica
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 

OWASP

  • 1. OWASP – presentación del proyecto Madrid, diciembre 2005
  • 2. El conferenciante Javier Fernández-Sanguino <jfernandez@germinus.com> Consultor y jefe de proyecto en la división de seguridad IT de Germinus XXI, S.A. Ingeniero de Telecomunicación por la ETSIT-UPM, Miembro de diversos grupos de desarrollo de software libre dentro del proyecto Debian, y de los de diversas herramientas de seguridad, entre otras: Tiger, Nessus, y Bastille. Miembro fundador del grupo español de la Honeynet Alliance Miembro del grupo OWASP Testing Página 1
  • 3. El proyecto OWASP Presentación del Proyecto OWASP -Introducción -Historia -Proyectos OWASP - Orientación y enfoque - Guías y metodologías: OWASP Top 10, OWASP Guide y OWASP Testing Guide - Aplicaciones: WebScarab y Webgoat [DEMO] -Cómo contribuir al proyecto -Otros proyectos relacionados -Referencias útiles Página 2
  • 4. El proyecto OWASP - Introducción ¿Qué es el proyecto OWASP? Una organización independiente dedicada a encontrar y luchar contra las causas del software inseguro. Organizado en proyectos y capítulos locales repartidos por todo el mundo que desarrollan documentación, herramientas y estándares de fuentes abiertas (GPL, GFDL, LGPL). Está abierta a la participación de cualquier persona y patrocinador. Sponsors: Orientación del proyecto Intentar que el mundo produzca mejores programas. Mediante: -El desarrollo de herramientas útiles para identificar los fallos y corregirlos. -La educación de los grupos involucrados, para evitar que se produzcan fallos. -La definición de estándares. -El fomento de la discusión de problemas a través de una comunidad abierta. Página 3
  • 5. Orientación OWASP - Ciclo de desarrollo seguro Diseñar Construir Desplegar Operar Descartar Pruebas de Análisis estático Pruebas de seguridad (herramientas) intrusión Casos de abuso Análisis de Revisión en base al Problemas Requisitos de riesgos externa riesgo Análisis de riesgos de seguridad seguridad Requisitos y Diseño Código Resultados Planes de Análisis de casos de uso de las prueba despliegue pruebas Página 4
  • 6. Orientación OWASP - ¿Por qué? ¿Cuándo arreglar vulnerabilidades? • Es mejor identificar, buscar y arreglar los problemas de seguridad lo antes posible. • Cuanto más tarde se arregle un problema el coste será mayor. • Si se arreglan pronto se evitan también los costes de mantenimiento (parches) Retorno de inversión en el arreglo de vulnerabilidades web 25 21 20 15 15 12 10 5 0 Diseño Implementación Pruebas Fuente: “Tangible ROI through software engineering” SBQ, vol 1, nº 2 Página 5
  • 7. El proyecto OWASP - Historia Septiembre 2001: Arranca el proyecto Abril 2005: Conferencia OWASP Appsec, OWASP Londres Junio 2002: OWASP Guide to Building Secure Julio 2005: OWASP Guide 2.0 (Black Hat) Web Applications (~90 pgs) (~300 pgs) Octubre 2002: VulnXML, WebScarab Octubre 2005: Conferencia OWASP Appsec, Washington DC Enero 2003: OWASP Top Ten, primera versión Estado actual Abril 2003: Codeseeker Nuevos proyectos para el 2005: OWASP Standard, OWASP Legal (contratación, Enero 2004: OWASP Top Ten, Proyectos regulación, RFPs), J2EE y Web Services beta: OWASP Labs (guías, metodologías y herramientas) Junio 2004: Conferencia OWASP Appsec, NY Abril 2004: OWASP PenTest checklist Diciembre 2004: OWASP Testing Guide Febrero 2005: OWASP Top Ten introducido en "Payment Card Industry Data Security Standard“ de VISA Página 6
  • 8. El proyecto OWASP - Proyectos en la actualidad Desarrollo: Documentos y Guías: WebGoat Activo Legal Activo WebScarab Activo Guide Activo DotNet Activo Publicaciones Activo Validation Parado Testing Dudoso oLabs Parado Métricas Parado Miscelánea: AppSec FAQ Parado Capítulos Locales Muy activos Top Ten Parado Internacional Activo ISO17799 Parado Conferencias Activo Página 7
  • 9. OWASP “Top Ten” Vulnerabilidades más frecuentes según OWASP Esta es la lista de problemas que dan lugar a vulnerabilidades de seguridad en el desarrollo web más frecuentes según el proyecto OWASP: • A1 Validación incorrecta de parámetros de entrada. • A2 Errores en el control de acceso. • A3 Errores en la autenticación y gestión de sesiones. • A4 Guiones a través del servidor (XSS). • A5 Sobrecarga de búfer. • A6 Inyección de código. • A7 Gestión inapropiada de los errores. • A8 Almacenamiento no seguro. • A9 Denegación de servicio. • A10 Gestión incorrecta de configuración (de servidores de web y de aplicaciones) Traducido a cinco idiomas. http://www.owasp.org/documentation/topten.html Página 8
  • 10. OWASP Guide OWASP Guide Manual para diseñar, desarrollar y desplegar aplicaciones web, y dirigada a arquitectos de sistemas, programadores, consultores y auditores. Actualmente llega casi a las 300 páginas.Desde el 2002 se han descargado más de dos millones de copias y está ampliamente referenciada en estándares gubernamentales, financieros y corporativos. Trata: Formas canónicas y tratamiento de codificaciones Unicode Arquitecturas web Despliegue y configuración Mecanismos de autenticación Mecanismos de control de acceso Mecanismos de gestión de sesiones Mecanismos de registro y auditoría Validación de datos Problemas de inyección (código, XSS, SQL, XML, LDAP...) Privacidad Criptografía http://www.owasp.org/documentation/guide.html Página 9
  • 11. OWASP Testing Guide OWASP Testing Guide Guía para definir una metodología de pruebas de seguridad en aplicaciones web pero no enfocada a las pruebas de intrusión sino al ámbito del ciclo de vida de desarrollo de software e introduciendo actividades de pruebas como la definición de modelos de riesgo, la revisión de código fuente y las pruebas de intrusión. Documentos producidos hasta la fecha: •OWASP Testing Guide (phase 1) – introducción a la metodología •OWASP Web Application Penetration Checklist – pruebas de intrusión y metodología Information Gathering - Harvest Information on the infrastructure and web environment En desarrollo: segunda fase de la guía de - Harvest Information of the interactive applications and dynamic content generation used Tester - Produce results for start of test pruebas: No Have No Go through each phase to test for individual weaknesses: - Input Validation - Session Manipulation - Logon Process, etc. Have Yes all attack methods all possible tests been exhausted and been executed? investigated? •descripción detallada de vulnerabilidades No Has a No possible vulnerability been detected? (Programming error, configuration • riesgos asociados error or system Did the vulnerability) attack succeed? Yes Yes No Attack target •pruebas y mecanismos para detectarlas directed to exploit Make a risk assessment vulnerability of the vulnerability Yes Yes •caja blanca Can the vulnerability compromise the service? No Is internal information leaked? (Source code fragments implementation information, etc.) Yes •caja negra. Yes Results: - Tested and succeeded vulnerabilities - Detailed impact and consequences Generate an Yes Is the of vulnerabilities in web service alert and information business contact the critical? Organization No http://www.owasp.org/documentation/testing.html Página 10
  • 12. OWASP - WebGoat y WebScarab OWASP WebGoat Aplicación J2EE basada en Tomcat desarrollada para enseñar los problemas de aplicaciones web a través de lecciones en las que se simulan vulnerabilidades en un servidor: -Pruebas de inyección SQL, XSS -Manipulación de campos ocultos -Identificadores de sesión débiles -.... http://www.owasp.org/software/webgoat.html OWASP Webscarab Herramienta multiplataforma (Java) para realizar pruebas de aplicaciones web funcionando como proxy interceptor: -Registra todos los accesos (documentación) -Modificación arbitraria de peticiones y respuestas -Extensible a través de complementos: análisis de identificadores de sesión, pruebas automáticas de parámetros (fuzzer), consultas SOAP http://www.owasp.org/software/webscarab.html Aunque no es la única herramienta de estas características (httpush, paros, spikeproxy...) Página 11
  • 13. Demo Demo ¿saldrá todo bien? Página 12
  • 14. Cómo contribuir / Trabajos futuros Contribuir con el proyecto OWASP: El proyecto no sólo está abierto a contribuciones sino que las necesita. Contribuir es sencillo, se puede hacer: -Enviando comentarios sobre las guías y documentación disponibles -Probando las aplicaciones, reportando erratas y extendiéndolas -Patrocinando un proyecto (€€€) Trabajos futuros Los trabajos que quieren desarrollarse a lo largo del próximo año: -Versión 2.1 de OWASP Guide en desarrollo (publicada en papel) -Fase 2 de la OWASP Testing Guide -OWASP Legal – definir la contratación, regulación, y RFPs -Nuevas guías, metodologías y herramientas enfocadas a J2EE y Web Services (.NET está ya cubierto) Y el desarrollo de la fundación OWASP, con el objetivo de dar sostenibilidad al proyecto. Página 13
  • 15. Otros proyectos Otros proyectos relacionados Existen otros proyectos e iniciativas con cierto solape que merece la pena mencionar: -OASIS Web Application Security (WAS) project, http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=was -OASIS Application Vulnerability Description Language (AVDL), http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=avdl -Web Application Security Consortium (WASC), http://www.webappsec.org/ -Algunos manuales genéricos de pruebas de intrusión, como el Open Source Security Testing Methodology Manual (OSSTMM de ISECOM, http://www.isecom.org/osstmm/) o el, Information Systems Security Assessment Framework (ISSAF de OSSIG, http://www.oissg.org/ ), cuentan con una sección dedicada a las pruebas sobre aplicaciones web No son necesariamente competencia y en algunos casos son complementarios con los trabajos desarrollados dentro de OWASP. Página 14
  • 16. Referencias de utilidad Algunas referencias ya comentadas: Proyecto OWASP http://www.owasp.org/ Proyecto OWASP en Sourceforge http://sourceforge.net/projects/owasp Y algunas nuevas: Listas de correo: Build Security In Portal owasp-guide@sourceforge https://buildsecurityin.us-cert.gov/portal/ owasp-testing@sourceforge Secure Coding: Principles and Practices owasp-topten@sourceforge http://www.securecoding.org/ owasp-dotnet@sourceforge CGI Security webappsec@securityfocus.com http://www.cgisecurity.net/ pen-test@securityfocus.com WWW Security FAQ http://www.w3.org/Security/Faq/ Secure Programming for UNIX and Linux HOWTO http://www.dwheeler.com/secure-programs/ Página 15
  • 17. Libros recomendados Libros recomendados: Apache Security, Ivan Ristic, ISBN-0596007248 Core Security Patterns : Best Practices and Strategies for J2EE(TM), Web Services, and Identity Management (Core) , Christopher Steel, Ramesh Nagappan, Ray Lai, ISBN- 0131463071 J2EE Security for Servlets EJBS and Web Services , Pankaj Kumar, ISBN-0131402641 Essential PHP Security, Chris Shiflett, ISBN-059600656X Building Secure Software: How to Avoid Security Problems the Right Way, John Viega, Gary McGraw, 020172152X Secure Coding, Principles and Practices, Mark G. Graff, Kenneth R.Van Wyk, ISBN-0596002424 Exploiting Software, Greg Hoglund, Gary McGraw, ISBN- 0201786958 Security Engineering: A Guide to Building Dependable Distributed Systems, Ross J. Anderson, ISBN-0471389226 Página 16
  • 18. Fin Gracias por vuestra atención Página 17
  • 19. ¿Preguntas? ¿? Página 18