Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: Security Bugs o Bugs de Sintaxis y Business Logic Flaws, conocidos también como Design Flaws.
El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como SQL Injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema.
A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST.
Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las aplicaciones.
El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos.
Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y de herramientas de auditoría como Burp Suite.
Las practicas de despliega continua (CD) y DevOps están revolucionando el proceso de desarrollo y de negocio. Las practicas de seguridad, y sobre todo las pruebas de seguridad tendrán que adaptarse a este nuevo mundo.
Durante este charla propongo unos métodos para automatizar las pruebas de seguridad para que encajan en un proceso de despliega continua sin interrumpir el proceso. El formato incluirá los siguientes asuntos:
1. Introduccion breve a DevOps y Despliega Continua
2. Los retos para automatizar pruebas de seguridad
3. El marco de pruebas BDD-Security en tres pasos
4. Integracion con Jenkins
Este documento habla sobre la integración de la seguridad en el proceso de desarrollo de software (DevSecOps). Primero, explica que DevSecOps fusiona los enfoques de DevOps y SecOps para incluir la seguridad en todas las etapas del ciclo de vida de una aplicación. Luego, propone un plan de 12 semanas para que un equipo DevOps comience a adoptar prácticas de DevSecOps, como incorporar herramientas de análisis de seguridad y automatizarlas, involucrar a la seguridad desde las primeras et
Testing de Aplicaciones Móviles, Públicas, Masivas y CríticasBelatrix Software
Ser QA no es fácil. Existen diferentes aspectos a cubrir: funcionalidad, usabilidad, accesibilidad, performance, seguridad, entre otros. Si la aplicación es móvil, entonces hay que considerar: diferentes sistemas operativos y versiones, fabricantes de smartphones y la naturaleza de la construcción de la aplicación. En un contexto de Transformación Digital, donde el trabajo en equipo, el enfoque a usuario y el time-to-market son claves para triunfar, como QA, ¿cómo enfrentar esta gran suma de retos?
En esta presentación vamos a entender cuáles son los aspectos a considerar y retos que un QA debe superar si es el responsable de una aplicación pública, cuyo uso es 24/7 y cuyo fallo podría causar impactos negativos en la imagen de una organización en camino hacia la Transformación Digital.
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Ponencia del evento Latin CACS 2017 de Isaca. San José Costa Rica.26 - 27 sept. 2017.
Conceptos y elementos necesarios para el entendimiento de sistemas Android y IOs y auditar técnicamente una aplicación móvil.
OWASP es una organización sin fines de lucro dedicada a mejorar la seguridad de las aplicaciones web. Publica proyectos como la lista Top 10 de vulnerabilidades más críticas, la herramienta ZAP para pruebas de penetración, y hojas de trucos sobre temas de seguridad. Examina vulnerabilidades comunes como inyecciones, autenticación débil, exposición de datos, y uso de componentes desactualizados. Recomienda validación de entrada, encriptación, autenticación multifactor, y actualizaciones de software para prevenir ataques.
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Las practicas de despliega continua (CD) y DevOps están revolucionando el proceso de desarrollo y de negocio. Las practicas de seguridad, y sobre todo las pruebas de seguridad tendrán que adaptarse a este nuevo mundo.
Durante este charla propongo unos métodos para automatizar las pruebas de seguridad para que encajan en un proceso de despliega continua sin interrumpir el proceso. El formato incluirá los siguientes asuntos:
1. Introduccion breve a DevOps y Despliega Continua
2. Los retos para automatizar pruebas de seguridad
3. El marco de pruebas BDD-Security en tres pasos
4. Integracion con Jenkins
Este documento habla sobre la integración de la seguridad en el proceso de desarrollo de software (DevSecOps). Primero, explica que DevSecOps fusiona los enfoques de DevOps y SecOps para incluir la seguridad en todas las etapas del ciclo de vida de una aplicación. Luego, propone un plan de 12 semanas para que un equipo DevOps comience a adoptar prácticas de DevSecOps, como incorporar herramientas de análisis de seguridad y automatizarlas, involucrar a la seguridad desde las primeras et
Testing de Aplicaciones Móviles, Públicas, Masivas y CríticasBelatrix Software
Ser QA no es fácil. Existen diferentes aspectos a cubrir: funcionalidad, usabilidad, accesibilidad, performance, seguridad, entre otros. Si la aplicación es móvil, entonces hay que considerar: diferentes sistemas operativos y versiones, fabricantes de smartphones y la naturaleza de la construcción de la aplicación. En un contexto de Transformación Digital, donde el trabajo en equipo, el enfoque a usuario y el time-to-market son claves para triunfar, como QA, ¿cómo enfrentar esta gran suma de retos?
En esta presentación vamos a entender cuáles son los aspectos a considerar y retos que un QA debe superar si es el responsable de una aplicación pública, cuyo uso es 24/7 y cuyo fallo podría causar impactos negativos en la imagen de una organización en camino hacia la Transformación Digital.
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Ponencia del evento Latin CACS 2017 de Isaca. San José Costa Rica.26 - 27 sept. 2017.
Conceptos y elementos necesarios para el entendimiento de sistemas Android y IOs y auditar técnicamente una aplicación móvil.
OWASP es una organización sin fines de lucro dedicada a mejorar la seguridad de las aplicaciones web. Publica proyectos como la lista Top 10 de vulnerabilidades más críticas, la herramienta ZAP para pruebas de penetración, y hojas de trucos sobre temas de seguridad. Examina vulnerabilidades comunes como inyecciones, autenticación débil, exposición de datos, y uso de componentes desactualizados. Recomienda validación de entrada, encriptación, autenticación multifactor, y actualizaciones de software para prevenir ataques.
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
Este documento describe varios aspectos importantes de seguridad que deben considerarse al desarrollar aplicaciones web con PHP. Explica conceptos básicos de seguridad, necesidades comunes como privacidad y protección de datos de usuarios. Luego cubre configuraciones recomendadas para el servidor, Apache y PHP para mejorar la seguridad. Finalmente, analiza vulnerabilidades comunes en desarrollos PHP como inyección de código, XSS, SQL injection y ataques de archivos, dando recomendaciones para prevenirlas.
Este documento resume las 10 vulnerabilidades web más comunes según OWASP. Estas incluyen inyección, cross-site scripting, pérdida de autenticación y gestión de sesiones, referencias directas inseguras a objetos, cross-site request forgery, defectos en la configuración de seguridad, almacenamiento criptográfico inseguro, falla de restricción de acceso a URL, protección insuficiente en la capa de transporte, y redirecciones y reenvíos no validados. El documento recomienda seguir las mej
Este documento ofrece consejos prácticos para crear aplicaciones seguras. Explica que los errores de seguridad pueden ser muy costosos y que factores como la validación de datos, el uso de criptografía, el análisis de código y las pruebas son importantes. También destaca la necesidad de procesos de seguridad integrales en todo el ciclo de vida del desarrollo de software.
Este documento presenta un webinar gratuito sobre la Guía de Pruebas de OWASP impartido por Alonso Eduardo Caballero Quezada. La presentación describe que la versión 4 de la Guía de Pruebas de OWASP mejora la versión anterior al integrarse con otros documentos de OWASP, ampliar los casos de prueba a 87 e incluir cuatro nuevos capítulos y controles. También se resumen las secciones clave de la Guía de Pruebas de OWASP como la estructura de trabajo propuesta y la lista de verificación de p
El Estado de la Seguridad de IBM i en 2020HelpSystems
Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos.
Vea este webinar grabado y obtenga información sobre:
Comandos y controles de acceso a la red
Controles de Seguridad a nivel de servidor
Usuarios que pueden acceder a su información privilegiada
Perfiles y Seguridad de contraseñas
Protección anti-virus y malware
Estrategias para auditorías de sistema
Este documento describe la evolución de las prácticas de TI desde los enfoques tradicionales hasta los enfoques ágiles y DevOps. Explica que DevOps surgió para mejorar la colaboración entre los equipos de desarrollo y operaciones. También describe cómo DevSecOps integra la seguridad en todas las fases del ciclo de vida del desarrollo de software de una manera ágil y automatizada.
10 Principales Controles Proactivos de OWASP,
The goal of the OWASP Top 10 Proactive Controls project (OPC) is to raise awareness about
application security by describing the most important areas of concern that software
developers must be aware of. We encourage you to use the OWASP Proactive Controls to get your developers started with application security. Developers can learn from the mistakes of other organizations. We hope that the OWASP Proactive Controls is useful to your efforts in building secure software.
Este documento discute la importancia de la seguridad en los sistemas. Explica que la seguridad incluye conceptos como la confidencialidad, integridad y disponibilidad. También describe actividades como el análisis de requisitos, riesgos y casos de abuso que deben realizarse para desarrollar un sistema seguro. Finalmente, resalta la importancia de pruebas como el testing funcional de seguridad y las pruebas de penetración.
En este webinar, “Soluciones de Seguridad de Oracle desde la óptica de la Ingeniería de Software”, podrá descubrir las tecnologías Oracle que le permitirán securizar y controlar el acceso a los datos de las aplicaciones que desarrolle, utilizando enmascaramiento de datos, accesos restringidos, auditoría, protección de web services, etc.
Este documento presenta una introducción a Spring Security 3 y un taller práctico sobre cómo configurar la seguridad en aplicaciones web con Spring Security. El documento incluye una breve introducción a Spring Security, una guía paso a paso para configurar la seguridad en una aplicación web de ejemplo y más allá del taller con más información sobre configuraciones avanzadas de Spring Security.
Este documento presenta varias soluciones de seguridad de Oracle desde la perspectiva del gobierno de la seguridad. Describe soluciones como Oracle Database Vault para controlar el acceso a datos, Enterprise User Security para autenticación centralizada, Oracle Audit Vault and Database Firewall para monitorear actividad y prevenir accesos no autorizados, Oracle Identity Manager para gestión centralizada de identidades, y Oracle Mobile Security Suite para gestión de dispositivos móviles.
Este documento habla sobre seguridad en aplicaciones Node.js. Explica qué es OWASP y su Top 10, que lista las 10 vulnerabilidades más comunes en aplicaciones web. También cubre JWT y JWK, estándares para transmitir información de forma segura entre aplicaciones. Finalmente, incluye una implementación de JWT y JWKS en Node.js para practicar estos conceptos de seguridad.
OWASP es una organización sin fines de lucro dedicada a mejorar la seguridad en el desarrollo web. Publica anualmente el Top 10 de vulnerabilidades web más críticas, incluyendo inyección, autenticación rota, exposición de datos sensibles y fallas de configuración. El objetivo es ayudar a desarrolladores a crear software más seguro.
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
The OWASP Foundation (Open Web Application Security Project) is a global non-profit organization that seeks to create an open community dedicated to the development and maintenance of reliable and secure applications.
One of OWASP's most well-known assets is the “OWASP Top 10”, a best practice guide developed with broad consensus with companies specializing in application security and containing the 10 most common flaws in web application security.
During the presentation, the 10 vulnerabilities included in the latest version of the 2017 guide are introduced, as well as techniques to detect and prevent them.
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
El documento describe las fases del ciclo de desarrollo de software y la importancia de la seguridad en cada una. Explica que en el análisis se identifican los requisitos de seguridad, en el diseño se contemplan aspectos como la autorización de usuarios y la protección de datos, en la codificación se deben validar los datos de entrada y en las pruebas se realizan escenarios no planificados para probar la seguridad. Finalmente, en la implementación es crucial realizar cambios de configuración y separar los ambientes.
Este documento describe varios aspectos clave de la seguridad en bases de datos, incluyendo tipos de usuarios, medidas de seguridad, tipos de ataques, metodologías de prueba de penetración, servicios de seguridad, identificación y autenticación de usuarios, y mecanismos de autenticación como claves y autenticación física.
Este documento describe varios aspectos clave de la seguridad en bases de datos, incluyendo tipos de usuarios, medidas de seguridad, tipos de ataques, metodologías de prueba de penetración, servicios de seguridad, identificación y autenticación de usuarios, y mecanismos de autenticación como claves y tarjetas de identificación. El objetivo principal es proteger la base de datos de ataques internos y externos a través de medidas técnicas, de políticas y de control del factor humano.
Este documento describe brevemente a OWASP y el OWASP Top 10. OWASP es una comunidad abierta dedicada a ayudar a organizaciones a desarrollar, comprar y mantener aplicaciones seguras. Produce herramientas, literatura y controles de seguridad. El OWASP Top 10 es una lista de los 10 vulnerabilidades más críticas reportadas frecuentemente por empresas de seguridad, con el objetivo de educar a desarrolladores sobre las consecuencias de estas debilidades.
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
Este documento discute el enfoque preventivo del análisis de código para la seguridad del software. Explica que la inyección de defectos de seguridad se debe a fallos en el proceso de desarrollo y propone medidas preventivas como la formación en seguridad, revisiones de código, y detección temprana de vulnerabilidades mediante análisis estático. Finalmente, argumenta que los ingenieros de pruebas pueden participar en pruebas de seguridad mediante casos de abuso y automatización, aunque requiere un cambio en
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
Este documento describe varios aspectos importantes de seguridad que deben considerarse al desarrollar aplicaciones web con PHP. Explica conceptos básicos de seguridad, necesidades comunes como privacidad y protección de datos de usuarios. Luego cubre configuraciones recomendadas para el servidor, Apache y PHP para mejorar la seguridad. Finalmente, analiza vulnerabilidades comunes en desarrollos PHP como inyección de código, XSS, SQL injection y ataques de archivos, dando recomendaciones para prevenirlas.
Este documento resume las 10 vulnerabilidades web más comunes según OWASP. Estas incluyen inyección, cross-site scripting, pérdida de autenticación y gestión de sesiones, referencias directas inseguras a objetos, cross-site request forgery, defectos en la configuración de seguridad, almacenamiento criptográfico inseguro, falla de restricción de acceso a URL, protección insuficiente en la capa de transporte, y redirecciones y reenvíos no validados. El documento recomienda seguir las mej
Este documento ofrece consejos prácticos para crear aplicaciones seguras. Explica que los errores de seguridad pueden ser muy costosos y que factores como la validación de datos, el uso de criptografía, el análisis de código y las pruebas son importantes. También destaca la necesidad de procesos de seguridad integrales en todo el ciclo de vida del desarrollo de software.
Este documento presenta un webinar gratuito sobre la Guía de Pruebas de OWASP impartido por Alonso Eduardo Caballero Quezada. La presentación describe que la versión 4 de la Guía de Pruebas de OWASP mejora la versión anterior al integrarse con otros documentos de OWASP, ampliar los casos de prueba a 87 e incluir cuatro nuevos capítulos y controles. También se resumen las secciones clave de la Guía de Pruebas de OWASP como la estructura de trabajo propuesta y la lista de verificación de p
El Estado de la Seguridad de IBM i en 2020HelpSystems
Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos.
Vea este webinar grabado y obtenga información sobre:
Comandos y controles de acceso a la red
Controles de Seguridad a nivel de servidor
Usuarios que pueden acceder a su información privilegiada
Perfiles y Seguridad de contraseñas
Protección anti-virus y malware
Estrategias para auditorías de sistema
Este documento describe la evolución de las prácticas de TI desde los enfoques tradicionales hasta los enfoques ágiles y DevOps. Explica que DevOps surgió para mejorar la colaboración entre los equipos de desarrollo y operaciones. También describe cómo DevSecOps integra la seguridad en todas las fases del ciclo de vida del desarrollo de software de una manera ágil y automatizada.
10 Principales Controles Proactivos de OWASP,
The goal of the OWASP Top 10 Proactive Controls project (OPC) is to raise awareness about
application security by describing the most important areas of concern that software
developers must be aware of. We encourage you to use the OWASP Proactive Controls to get your developers started with application security. Developers can learn from the mistakes of other organizations. We hope that the OWASP Proactive Controls is useful to your efforts in building secure software.
Este documento discute la importancia de la seguridad en los sistemas. Explica que la seguridad incluye conceptos como la confidencialidad, integridad y disponibilidad. También describe actividades como el análisis de requisitos, riesgos y casos de abuso que deben realizarse para desarrollar un sistema seguro. Finalmente, resalta la importancia de pruebas como el testing funcional de seguridad y las pruebas de penetración.
En este webinar, “Soluciones de Seguridad de Oracle desde la óptica de la Ingeniería de Software”, podrá descubrir las tecnologías Oracle que le permitirán securizar y controlar el acceso a los datos de las aplicaciones que desarrolle, utilizando enmascaramiento de datos, accesos restringidos, auditoría, protección de web services, etc.
Este documento presenta una introducción a Spring Security 3 y un taller práctico sobre cómo configurar la seguridad en aplicaciones web con Spring Security. El documento incluye una breve introducción a Spring Security, una guía paso a paso para configurar la seguridad en una aplicación web de ejemplo y más allá del taller con más información sobre configuraciones avanzadas de Spring Security.
Este documento presenta varias soluciones de seguridad de Oracle desde la perspectiva del gobierno de la seguridad. Describe soluciones como Oracle Database Vault para controlar el acceso a datos, Enterprise User Security para autenticación centralizada, Oracle Audit Vault and Database Firewall para monitorear actividad y prevenir accesos no autorizados, Oracle Identity Manager para gestión centralizada de identidades, y Oracle Mobile Security Suite para gestión de dispositivos móviles.
Este documento habla sobre seguridad en aplicaciones Node.js. Explica qué es OWASP y su Top 10, que lista las 10 vulnerabilidades más comunes en aplicaciones web. También cubre JWT y JWK, estándares para transmitir información de forma segura entre aplicaciones. Finalmente, incluye una implementación de JWT y JWKS en Node.js para practicar estos conceptos de seguridad.
OWASP es una organización sin fines de lucro dedicada a mejorar la seguridad en el desarrollo web. Publica anualmente el Top 10 de vulnerabilidades web más críticas, incluyendo inyección, autenticación rota, exposición de datos sensibles y fallas de configuración. El objetivo es ayudar a desarrolladores a crear software más seguro.
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
The OWASP Foundation (Open Web Application Security Project) is a global non-profit organization that seeks to create an open community dedicated to the development and maintenance of reliable and secure applications.
One of OWASP's most well-known assets is the “OWASP Top 10”, a best practice guide developed with broad consensus with companies specializing in application security and containing the 10 most common flaws in web application security.
During the presentation, the 10 vulnerabilities included in the latest version of the 2017 guide are introduced, as well as techniques to detect and prevent them.
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
El documento describe las fases del ciclo de desarrollo de software y la importancia de la seguridad en cada una. Explica que en el análisis se identifican los requisitos de seguridad, en el diseño se contemplan aspectos como la autorización de usuarios y la protección de datos, en la codificación se deben validar los datos de entrada y en las pruebas se realizan escenarios no planificados para probar la seguridad. Finalmente, en la implementación es crucial realizar cambios de configuración y separar los ambientes.
Este documento describe varios aspectos clave de la seguridad en bases de datos, incluyendo tipos de usuarios, medidas de seguridad, tipos de ataques, metodologías de prueba de penetración, servicios de seguridad, identificación y autenticación de usuarios, y mecanismos de autenticación como claves y autenticación física.
Este documento describe varios aspectos clave de la seguridad en bases de datos, incluyendo tipos de usuarios, medidas de seguridad, tipos de ataques, metodologías de prueba de penetración, servicios de seguridad, identificación y autenticación de usuarios, y mecanismos de autenticación como claves y tarjetas de identificación. El objetivo principal es proteger la base de datos de ataques internos y externos a través de medidas técnicas, de políticas y de control del factor humano.
Este documento describe brevemente a OWASP y el OWASP Top 10. OWASP es una comunidad abierta dedicada a ayudar a organizaciones a desarrollar, comprar y mantener aplicaciones seguras. Produce herramientas, literatura y controles de seguridad. El OWASP Top 10 es una lista de los 10 vulnerabilidades más críticas reportadas frecuentemente por empresas de seguridad, con el objetivo de educar a desarrolladores sobre las consecuencias de estas debilidades.
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
Este documento discute el enfoque preventivo del análisis de código para la seguridad del software. Explica que la inyección de defectos de seguridad se debe a fallos en el proceso de desarrollo y propone medidas preventivas como la formación en seguridad, revisiones de código, y detección temprana de vulnerabilidades mediante análisis estático. Finalmente, argumenta que los ingenieros de pruebas pueden participar en pruebas de seguridad mediante casos de abuso y automatización, aunque requiere un cambio en
Similar a OWASP Spain: Protection and Verification of Business Logic Flaws (20)
PRESENTACION TEMA COMPUESTO AROMATICOS YWillyBernab
Acerca de esta unidad
La estructura característica de los compuestos aromáticos lleva a una reactividad única. Abordamos la nomenclatura de los derivados del benceno, la estabilidad de los compuestos aromáticos, la sustitución electrofílica aromática y la sustitución nucleofílica aromática
3. Índice
1. Security Bugs & Business Logic Flaws
2. Explotación - Business Logic Flaws
3. Protección - Business Logic Flaws
4. Limitaciones en la automatización de la protección
5. Verificación – Business Logic Flaws
6. Recomendaciones
5. Security bugs
• Errores de seguridad que siguen un patrón concreto,
común en todas las aplicaciones
Ejemplos: SQL Injection,XSS, etc.
• Pueden ser detectados por herramientas AST
(Application Security Testing)
• El ataque para explotar estos problemas sigue
habitualmente patrones conocidos
6. Business Logic Flaws o Design Flaws
• No siguen un patrón común y dependen de cada
dominio o negocio
Ejemplos: Control de acceso, Binding, Alteración de workflow,
etc.
• No detectables por herramientas AST
• Los ataques para explotar estos problemas no
tienen forma de ataque
7. • Unauthenticated Web Service
• Encryption key stored next to
data
• Step N of workflow can be
skipped
• Race condition
• Fail-open logic
• User X can edit thing Y
50%
• SQL Injection
• Cross Site Scripting
• XML Attacks
• Directory Traversal
• Weak Crypto Algorithm
• Java Object Deserialization
• Other use of known bad API
50%
Security bugs vs. Business Logic Flaws
Business Logic FlawsSecurity Bugs
8. • Soluciones AST adecuadas para
la detección
• La industria en ciberseguridad
se ha centrado en la protección
de este tipo de riesgos (WAF y
ahora RASP)
Seguridad – Estado del Arte
• No se pueden detectar por AST
• Los WAFs más avanzados están
basados en procesos de
aprendizaje.
• Problemas:
• Costo de implantación
• Falsos positivos
• No todo se puede aprender, existen
cambios en tiempo real
Business Logic FlawsSecurity Bugs
9. Estado del Arte - Gartner
All of the AST tools share significant
weakness in the area of detecting
business logic flaws as well as more
deliberate, malicious flaws like logic
bombs and back doors.
Reliance on positive security models
(whitelists or policies derived from
automatic web application behavior
learning engines) in prevention mode
and automatic deployment of virtual
patches are rare.Gartner, A Guidance Framework for Establishing and
Maturing an Application Security Program, 23 December
2016. Gartner Foundational
AST WAF
11. Cómo explotar los Business Logic Flaws
• Modificar los valores de los parámetros
• Eliminar/Añadir parámetros
• Intentar consumir nuevas URLs
• Manipular el tiempo y el estado
• Actualizar cookies
• Añadir nuevas cabeceras
• etc.
Veamos algunos ejemplos reales…
12. Casos reales basados en modificación del contrato
Ejemplo Técnica de ataque Descripción
CSRF
OWASP A8 2013
Usuarios de ebay realizaban pujas
inconscientemente
Insecure Direct Object Reference
OWASP A4 2013
Tampering del identificador de usuario
en servicio web, pudiendo acceder a la
cuenta de otro usuario
Binding
OWASP ASVS
V5 Malicious input handling
Cabecera adicional añadida a la petición
con valor “localhost”, consiguiendo
acceder como Administrador
Binding
OWASP ASVS
V5 Malicious input handling
Parámetro extra añadido a un formulario
que permitía suplantar la identidad de
otra persona
Broken Access Control
OWASP A5 2017
Exposición involuntaria de los métodos
HTTP
JMX Console
14. Cómo protegerse de los
Business Logic Flaws
XI OWASP Spain Chapter Meeting
15. • Librerías de Seguridad: Spring Security, Java EE, etc.
• Código propietario
Cómo protegerse de los Business Logic Flaws
mediante enfoques tradicionales
16. • Problemas particularmente complejos para resolver
con soluciones tradicionales:
• Domain ACL o seguridad a nivel registro
• Binding (añadir o eliminar parámetros)
• Problemas de workflow: rompiendo el flujo normal de
navegación
Cómo protegerse de los Business Logic Flaws
mediante enfoques tradicionales
17. ¡ No funciona en la práctica !
• Las estadísticas de seguridad muestran que casi todas las
aplicaciones tienen al menos una vulnerabilidad
crítica
• Incluso las grandes empresas tienen estos problemas
(Apple, Github, Stack Overflow, etc.)
• Los pen-testers lo confirman
18. Origen del problema
• Todo está abierto por defecto
• Debemos proteger la aplicación manualmente
haciendo uso de librerías o código propietario
• La seguridad depende de las personas
19. Debemos automatizar la protección
No podemos automatizar la protección para el 100%
de los business logic flaws, pero podemos automatizar
al menos una parte significativa de ellos.
20. • Ataques de manipulación de contrato
• El cliente modifica, añade o elimina algún tipo de dato en
la petición (request)
• Ataques de abuso del contrato
• El ataque respeta el contrato
• El cliente hace un uso malicioso o abusivo del
contrato
Tipos de ataques – Business Logic Flaws
21. Datos No Editables
Datos Editables
View: OR
Showing 1 – 15 of 24 items
Title Author
Amazon Elastic Compute Cloud (EC2) Getting
Started Guide
Amazon Web Services
Purchased: May 11, 2017:
Price: $0.00
Order Details
View Product Page
GO
23. Demo
Manipulación de parámetros:
el usuario X accede a Y
1
2
3 Binding
URL Tampering4
Instalación de Hdiv
https://hdivsecurity.com/videos/libraries-installation
https://hdivsecurity.com/videos/owasp-spain-demo-protected-by-hdiv
24. Casos reales basados en modificación del contrato
Ejemplo Técnica de ataque Protegido Cómo ha sido protegido
CSRF
OWASP A8 2013
Sí
Añadimos un token aleatorio a cada URL. El
atacante no conoce el valor de este
parámetro
Insecure Direct Object
Reference
OWASP A4 2013
SÍ
El servidor detecta ataques de integridad
contra datos en servidor
Binding
OWASP ASVS
V5 Malicious input handling
NO
Se trata de una header que proviene de
client-side
Binding
OWASP ASVS
V5 Malicious input handling
SÍ
El servidor controla los parámetros válidos
durante el binding
Broken Access Control
OWASP A5 2017
SÍ
El servidor define qué está permitido,
rechazando el resto. Por defecto todo es
GET
JMX Console
26. Limitaciones de este método
• Las cajas de texto permiten texto libre
• Ataques de abuso del contrato
• 1000 peticiones por segundo a una operación con acceso
• Ataques relacionados con estado y tiempo
• Ejemplo:
1. Disponemos de un carrito en un e-commerce
2. Pasamos a pagar el pedido en PayPal
3. Actualizamosel carrito con productosmás caros
4. Pagamos, obteniendo un pedido con más productos al precio anterior
29. Recomendaciones
1. Hacer uso de soluciones AST para la detección de
security bugs (SQL Injection, XSS, etc.)
2. Integrar la protección frente a los Business Logic Flaws
en la Arquitectura (SDLC)
3. Realizar un pen-testing manual para la detección de
posibles problemas pendientes