El documento presenta información sobre una guía y taller de OWASP dictado por el Ingeniero Diego Alejandro Salazar. El taller cubrirá temas como el marco de trabajo de OWASP para pruebas de seguridad en aplicaciones web, la guía de pruebas, herramientas de testing y el ciclo de desarrollo seguro. El objetivo es ayudar a desarrolladores y responsables de seguridad a crear aplicaciones web más seguras.
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para conocer de cerca el proyecto OWASP: en qué consiste, qué tipo de documentaciones, guías, contenidos y utilidades se pueden encontrar en su web. cómo se organizan en capítulos locales por todo el mundo, qué tipo de eventos organizan y mucho más. Más información https://www.yolandacorral.com/ciberdebate-que-es-owasp/
Moderado por la periodista Yolanda Corral creadora del canal Palabra de hacker y que contó con la participación de miembros activos del proyecto Vicente Aguilera (líder de OWASP España y Barcelona), Paulino Calderón (OWASP Riviera Maya), Ramón Salado (OWASP Sevilla) y Rafael Sánchez OWASP Madrid).
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Open Web Application Security Project Top 10: OWASP con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para conocer de cerca el proyecto OWASP: en qué consiste, qué tipo de documentaciones, guías, contenidos y utilidades se pueden encontrar en su web. cómo se organizan en capítulos locales por todo el mundo, qué tipo de eventos organizan y mucho más. Más información https://www.yolandacorral.com/ciberdebate-que-es-owasp/
Moderado por la periodista Yolanda Corral creadora del canal Palabra de hacker y que contó con la participación de miembros activos del proyecto Vicente Aguilera (líder de OWASP España y Barcelona), Paulino Calderón (OWASP Riviera Maya), Ramón Salado (OWASP Sevilla) y Rafael Sánchez OWASP Madrid).
Introducción al OWASP Top 10 - Los diez riesgos mas importantes en aplicaciones web
- Es un documento EDUCATIVO.
- Es GRATUITO.
- DESCRIBE los riesgos más críticos en aplicaciones Web
Para cada riesgo, aporta:
- Descripción del mismo
- Escenario de ejemplo de un ataque
- Pautas para verificar si nuestra aplicación es vulnerable
- Recomendaciones para prevenir dicho riesgo
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
Expositor: Pablo Alzuri
Resumen:
Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo?
En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
Taller teórico-práctico que abordará el concepto y los fundamentos del enfoque de Pruebas de Software Basadas en Riegos incluyendo casos prácticos y recomendaciones de buenas prácticas. Para este taller no se requieren computadoras.
Por Luis Mercadal.
Secure coding: Desarrollo y testing de aplicaciones segurasBelatrix Software
Toda persona responsable de construir sistemas que manejan información confidencial, necesita interiorizarse y comprender los riesgos que existen y cómo mitigarlos, ya que la seguridad del software es una parte esencial del trabajo.
- La importancia del Desarrollo de Software Seguro
- S-SDLC: Ciclo de vida de Desarrollo de Software Seguro
- Los 10 principales riesgos de Seguridad en Aplicaciones Web
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pagomarcsegarralopez
Para garantizar los mecanismos de seguridad en las aplicaciones que gestionan los datos de titulares de tarjetas de pago, en los que el riesgo de fraude es muy alto y para los que existen numerosas redes ilegales que aprovechan estos datos para un uso y beneficio ilegítimo, se hace necesario homologar las aplicaciones de pago bajo el estándar PA-DSS. Esta ponencia presentará el proceso que implica una certificación en PA DSS y como metodologías como la OWASP facilitan gran parte del cumplimiento requierido por esta norma.
Metodología Agil [SAMM] para desarrollo de sistemas con tecnologia web que incluye normas de seguridad [OWASP] para resguardar información coorporativa. [Ejemplos y Soluciones].
Expositor: Pablo Alzuri
Resumen:
Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo?
En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Como desarrolladores web, una de las principales preocupaciones es cuán vulnerables son nuestros sitios o aplicaciones web. Esta charla explica algunos riesgos de seguridad y, más importante, cómo evitarlos. Basado en los riesgos de seguridad más críticos en el desarrollo web según OWASP Top Ten 2010, y con algunos ejemplos en PHP (aunque es fácilmente aplicable en otros entornos).
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
Taller teórico-práctico que abordará el concepto y los fundamentos del enfoque de Pruebas de Software Basadas en Riegos incluyendo casos prácticos y recomendaciones de buenas prácticas. Para este taller no se requieren computadoras.
Por Luis Mercadal.
Secure coding: Desarrollo y testing de aplicaciones segurasBelatrix Software
Toda persona responsable de construir sistemas que manejan información confidencial, necesita interiorizarse y comprender los riesgos que existen y cómo mitigarlos, ya que la seguridad del software es una parte esencial del trabajo.
- La importancia del Desarrollo de Software Seguro
- S-SDLC: Ciclo de vida de Desarrollo de Software Seguro
- Los 10 principales riesgos de Seguridad en Aplicaciones Web
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pagomarcsegarralopez
Para garantizar los mecanismos de seguridad en las aplicaciones que gestionan los datos de titulares de tarjetas de pago, en los que el riesgo de fraude es muy alto y para los que existen numerosas redes ilegales que aprovechan estos datos para un uso y beneficio ilegítimo, se hace necesario homologar las aplicaciones de pago bajo el estándar PA-DSS. Esta ponencia presentará el proceso que implica una certificación en PA DSS y como metodologías como la OWASP facilitan gran parte del cumplimiento requierido por esta norma.
Metodología Agil [SAMM] para desarrollo de sistemas con tecnologia web que incluye normas de seguridad [OWASP] para resguardar información coorporativa. [Ejemplos y Soluciones].
Este curso diseñado para ayudar a los desarrolladores a realizar código de software seguro, utilizando SDL y OWASP 2013. Se analizan modelos de riesgo para analizar si el código es o no seguro. Si desea recibir este curso puede contactarse en www.puntonetsoluciones.com.ar.
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.
Protección de las Infraestructuras CríticasSIA Group
La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público.
OWASP WTE, or OWASP Web Testing Environment, is a collection of application security tools and documentation available in multiple formats such as VMs, Linux distribution packages, Cloud-based installations and ISO images.
This presentation provides an overview and history of OWASP WTE. Additionally, it shows new OWASP WTE developments including the the ability to use WTE remotely by installing it on a cloud-based server.
Diapositivas utilizadas en la presentación sobre "Pentesting con Zed Attack Proxy" para 0x11 OWASP Perú Chapter Meeting. Evento realizado el día Miércoles 23 de Noviembre del 2016.
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
Presentación sobre el Top 10 de Riesgos en Aplicaciones Web de Vicente Aguilera dentro del congreso ADWYS CON 11. La presentación desarrolló las 10 amenazas más frecuentes para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.
El software inseguro está minando las infraestructuras críticas financieras, de salud, defensa, energía y otras. Conforme el software incrementa su complejidad y capacidad de conexión, la dificultad para alcanzar la seguridad en las aplicaciones se incrementa de manera exponencial. El veloz ritmo de los procesos modernos para el desarrollo del software, hacen los riesgos más comunes sean esenciales de descubrir y resolver rápidamente de manera precisa. Ya no es permisible tolerar problemas de seguridad relativamente simples como los presentados en este OWASP TOP 10.
Aunque el objetivo original del proyecto OWASP TOP 10 fue simplemente crear conciencia entre los desarrolladores y gerentes, se ha convertido en un estándar de facto para seguridad en aplicaciones.
En esta nueva versión del OWASP TOP 10 2017, los problemas y recomendaciones están escritas de una forma concisa y de manera comprobable, para ayudar con la adopción del OWASP TOP 10 en los programas de seguridad en aplicaciones. Se alienta a las organizaciones a utilizar el Estándar de Verificación para la Seguridad de Aplicaciones (ASVS) de OWASP si se requiere un verdadero estándar, pero para la mayoría el OWASP TOP 10 es un gran inicio en el camino de la seguridad en aplicaciones.
Construir software seguro siempre debería haber sido una necesidad en cualquier proyecto de desarrollo y los requerimientos de seguridad deberían haber sido contemplados con la misma prioridad que los requerimientos funcionales. La presentación expone, entre otros muchos temas, recursos de OWASP y cómo pueden ayudarnos para la consecución de nuestro objetivo: la creación de software seguro.
Las pruebas de software (software testing) se basan en la investigación empírica y técnica que permite proporcionar información objetiva e independiente sobre la calidad de la aplicación a la parte interesada o stakeholder. Forma parte crítica del proceso de control de calidad. Es por ello que no se puede subestimar las pruebas de software, si se desea garantizar un producto de calidad a los usuarios.
OWASP Zed Attack Proxy (ZAP) es una herramienta integral, la cual se utiliza para realizar pruebas de penetración y encontrar vulnerabilidades en aplicaciones web. Zed Attack Proxy proporciona escaners automáticos, como también un conjunto de herramientas las cuales permiten encontrar de manera manual, vulnerabilidades de seguridad.
Habla de la seguridad olvidada de las aplicaciones web desde el punto de vista del programador. Se revisan ataques de inyección SQL, XSS, Spam, Exposición de recursos, Base de Datos, etc.
Descripcion Detallada sobre la Criptografia desde sus principios hasta conocer lo ultimo en esta rama de la seguridad informatica.
la Criptografia Aplicada y DEMO.
Presentacion de la Conferencia Certificacion ISO 17799 - ISO 27001 . Realizada en el Securinf V3.0 - Dirigida por el Expositor y Experto en Seguridad de la Informacion a Organizacion Privadas y Publicas.
¿Como Me Certifico en Seguridad de la Informacion?
Securinf.com -
De Presa a Cazador .... Convierte en una investigador hacker, descubre quien te sigue el rastro, laboratorio realizado por jhon jairo hernandez y wilson ortega.
La Exposición tipo renovadora del securinf v3.0
securinf.com
Escaneo y eliminación de malware en el equiponicromante2000
El malware tiene muchas caras, y es que los programas maliciosos se reproducen en los ordenadores de diferentes formas. Ya se trate de virus, de programas espía o de troyanos, la presencia de software malicioso en los sistemas informáticos siempre debería evitarse. Aquí te muestro como trabaja un anti malware a la hora de analizar tu equipo
Si bien los hospitales conjuntan a profesionales de salud que atienden a la población, existe un equipo de organización, coordinación y administración que permite que los cuidados clínicos se otorguen de manera constante y sin obstáculos.
Mario García Baltazar, director del área de Tecnología (TI) del Hospital Victoria La Salle, relató la manera en la que el departamento que él lidera, apoyado en Cirrus y Estela, brinda servicio a los clientes internos de la institución e impulsa una experiencia positiva en el paciente.
Conoce el Hospital Victoria La Salle
Ubicado en Ciudad Victoria, Tamaulipas, México
Inició operaciones en el 2016
Forma parte del Consorcio Mexicanos de Hospitales
Hospital de segundo nivel
21 habitaciones para estancia
31 camas censables
13 camillas
2 quirófanos
+174 integrantes en su plantilla
+120 equipos médicos de alta tecnología
+900 pacientes atendidos
Servicios de +20 especialidades
Módulos utilizados de Cirrus
HIS
EHR
ERP
Estela - Business Intelligence
3. CAPACITADOR
Ing Diego Alejandro Salazar Perez
Fundador de Grupo de Seguridad Informática Securinf.
Administrador 2 Años de la Seguridad Informática Universidad Autónoma
Conferencista Seguridad Informática, Barcamp, Encuentro Internacional de
Software Libre, Seminario de Seguridad Informática Universidad Javeriana
Cali, Colombia 3.0 Entre Otros…
Hacker y Miembro Comité OWASP Colombia ( Internacionalización)
Gerente de Tecnoweb2.com ( Especialistas en Tecnologias Web)
4. ASESOR DE SEGURIDAD -
Campus Party - Wargame
Campus Party 2011 ..
ZONA de
Seguridad Informática
Software Libre
5. QUE ES OWASP
Proyecto que tiene como objetivo crear un marco de trabajo para el desarrollo de pruebas de
seguridad en aplicaciones web libremente accesible (GFDL) para profesionales ( Desarrolladores de
Software) y responsables de seguridad.
RESULTADOS:
- Guía de pruebas de seguridad en aplicaciones web.
- Documentos para asistir a la realización de pruebas (checklists).
Complementa a (y complementado con):
- Guía de diseño de aplicaciones web.
- Herramientas de pruebas de seguridad en aplicaciones web (Webscarab).
- OWASP Legal
6. OWASP TESTING
No enfocado solamente a las pruebas de
intrusión sino al ámbito del ciclo de vida de
desarrollo de software e introduciendo
actividades de pruebas como la definición de
modelos de riesgo, la revisión de código fuente
y las pruebas de intrusión.
7. OBJETIVOS
-Ayudar a aquellas personas que tienen que hacer pruebas
de seguridad.
- Crear Guia de Testing y Políticas de Seguridad Web
- Satisfacer la función de revisión de aplicaciones (indefinida).
- Dar un acercamiento más estructurado (evolución).
- Lograr la máxima difusión (internacional).
- Ayudar a que se produzca aplicaciones web más seguras.
11. OWASP ESAPI
La ESAPI es una colección gratis y abierta de todos los métodos
de seguridad que un desarrollador necesita para construir una
aplicación Web segura. Usted puede usar solo las interfases y
construir su propia implementación usando la infraestructura de
su compañía. O, puede user la implementación de referencia
como un punto de inicio. En concepto, la API es independiente
del lenguaje. Sin embargo, los primeros entregables del
proyecto son una API Java y una referencia de implementación
Java. Esfuerzos para construir ESAPI en .NET y PHP están en
marcha.
25. PSICOLOGÍA DEL DESARROLLADOR
- A mi me enseñaron así, y yo programo asi…
- Lo importante es que funcione ….
- No conozco estándares de programación en
cuanto a seguridad de código.
- Designamos a una persona para esta labor?
- Muchas preguntas????? Hacking …