SlideShare una empresa de Scribd logo

Taller de Owasp

ULSELSALVADOR
ULSELSALVADOR

OWASP Zed Attack Proxy (ZAP) es una herramienta de seguridad web open source que se puede usar para probar la seguridad de sitios web y aplicaciones. Ofrece funcionalidades como proxy de interceptación, arañas tradicionales y AJAX, escáner automatizado, escáner pasivo, navegación forzada, generador de fuzzing, soporte de certificados SSL dinámicos, autenticación y sesiones, API REST potente y una opción de actualización automática.

Software
1 de 20
Descargar para leer sin conexión
Día de la Seguridad Informática en la ULS TALLER DE OWASP By Jonathan Mejia & Francisco Trejo
OWASP Zed Attack Proxy (ZAP) Sitios autorizados para uso en el taller. http://www.delfos-cloud.com http://npwebdesing.tk/assets/cliente/home.php http://computerforense.260mb.net/login.php http://tgm-rrhh.mipropia.com/index.php?action= Login&module=Users
OWASP Zed Attack Proxy Project Descargar: https://github.com/zaproxy/zap roxy/wiki/Downloads
FUNCIONALIDADES ● Intercepting Proxy ● Traditional and AJAX spiders ● Automated scanner ● Passive scanner ● Forced browsing ● Fuzzer ● Dynamic SSL certificates ● Smartcard and Client Digital Certificates supporT ● Web sockets support ● Support for a wide range of scripting languages ● Plug-n-Hack support ● Authentication and session support ● Powerful REST based API ● Automatic updating option ● Integrated and growing marketplace of add-ons
Intercepting Proxy Proxy de interceptación: ZAP es un proxy de interceptación. Le permite ver todas las solicitudes que realiza en una aplicación web y todas las respuestas que recibe de ella. También funciona para poder examinar la comunicación que existe entre otros dispositivos conectados a la red donde zap sirve de proxy.
Traditional and AJAX Spiders Spiders es una herramienta que se utiliza para descubrir automáticamente nuevos recursos (URL) en un Sitio en particular. Comienza con una lista de direcciones URL a visitar, llamadas las semillas, que depende de cómo se inicia la Araña. A continuación, la Araña visita estas URL, identifica todos los hipervínculos de la página y los agrega a la lista de URL a visitar y el proceso continúa recursivamente siempre que se encuentren nuevos recursos.
Automated scanner La exploración activa intenta encontrar vulnerabilidades potenciales mediante ataques conocidos contra los destinos seleccionados. Cabe señalar que el escaneo activo sólo puede encontrar ciertos tipos de vulnerabilidades. Las vulnerabilidades lógicas, como el control de acceso roto, no serán encontradas por ningún análisis de vulnerabilidades activo o automatizado. Siempre se deben realizar pruebas de penetración manual además de la exploración activa para encontrar todos los tipos de vulnerabilidades.
Passive scanner ZAP analiza pasivamente todas las respuestas de la aplicación web que se está probando. El escaneo pasivo no cambia las respuestas de ninguna manera y por lo tanto es seguro de usar. La exploración se realiza en un subproceso de fondo para garantizar que no ralentiza la exploración de una aplicación.
Forced browsing La navegación forzada es un ataque en el que el objetivo es enumerar y acceder a recursos que la aplicación no hace referencia, pero que siguen siendo accesibles.
Fuzzer Un fuzzer es un programa que inyecta automáticamente datos semi-aleatorios en un programa / pila y detecta errores. La parte de generación de datos está formada por generadores, y la identificación de vulnerabilidades depende de las herramientas de depuración.
Dynamic SSL certificates OWASP ZAP le permite descifrar transparentemente las conexiones SSL. Para ello, ZAP tiene que cifrar cada solicitud antes de enviar al servidor y descifrar cada respuesta, que vuelve. Pero, esto ya es hecho por el navegador. Por eso, la única manera de descifrar o interceptar la transmisión, es hacer un "hombre en el medio" enfoque.
Smartcard and Client Digital Certificates supporT OWASP ZAP proporciona soporte de autenticación basado en tarjetas inteligentes para aplicaciones web que utilizan certificados digitales HTTPS (SSL / TLS) y X.509.
WebSockets Support WebSockets puede ser utilizado por aplicaciones web o sitios web para configurar un canal de comunicación bidireccional bidireccional (full-duplex) a través de una sola conexión TCP. Cuenta con un protocolo ligero que permite a los desarrolladores realizar casos de uso en tiempo real. Los WebSockets también proporcionan una alternativa al uso intensivo de Ajax, HTTP Long Polling o Comet.
Support for a wide range of scripting languages El complemento de secuencias de comandos ZAP le permite ejecutar secuencias de comandos que se pueden incrustar en ZAP y puede acceder a estructuras de datos internas de ZAP. Soporta cualquier lenguaje de scripting compatible con JSR 223
Plug-n-Hack support Plug-n-Hack es un estándar propuesto por el equipo de seguridad de Mozilla para definir cómo las herramientas de seguridad pueden interactuar con los navegadores de una manera más útil y útil. Este complemento agrega un botón 'Plug-n-Hack' a la pestaña Quickstart. Si hace clic en este botón, podrá configurar su navegador para que funcione con ZAP rápida y fácilmente.
Authentication and session support Autenticación y gestión de sesiones incluye todos los aspectos de la gestión de la autenticación de usuarios y la gestión de las sesiones activas. La autenticación es un aspecto crítico de este proceso, pero incluso los sólidos mecanismos de autenticación pueden verse socavados por las funciones de administración de credenciales defectuosas, como cambiar la contraseña, olvidé mi contraseña, recordar mi contraseña, actualizar la cuenta y otras funciones relacionadas..
Powerful REST based API Este proyecto está diseñado para atender el número cada vez mayor de organizaciones que están implementando API potencialmente sensibles como parte de sus ofertas de software. Estas API se utilizan para tareas internas y para interactuar con terceros. Desafortunadamente, muchas APIs no se someten a las rigurosas pruebas de seguridad que las hacen seguras frente a los ataques.
Automatic updating option Opción de actualización automáticas del aplicativo y sus funciones.
Integrated and growing marketplace of add-ons Si está utilizando la última versión de ZAP, puede buscar y descargar complementos desde ZAP haciendo clic en este botón en la barra de herramientas:
GRACIAS

Recomendados

O C S Inventory N G Installation And Administration Guide 1
O C S Inventory N G Installation And Administration Guide 1O C S Inventory N G Installation And Administration Guide 1
O C S Inventory N G Installation And Administration Guide 1rossodavide
 
El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova
El caso Solorigate: la exposición de SolarWinds, de SUNBURST a SupernovaEl caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova
El caso Solorigate: la exposición de SolarWinds, de SUNBURST a SupernovaJavier Junquera
 
Blockchain Casestudy in Media industry
Blockchain Casestudy in Media industry Blockchain Casestudy in Media industry
Blockchain Casestudy in Media industry Deval Bhapkar
 
Nist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quanticoNist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quanticoTuan Phan
 
Soc and siem and threat hunting
Soc and siem and threat huntingSoc and siem and threat hunting
Soc and siem and threat huntingVikas Jain
 
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certificationAlphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certificationAlphorm
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhAurélie Henriot
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 

Recomendados

O C S Inventory N G Installation And Administration Guide 1
O C S Inventory N G Installation And Administration Guide 1O C S Inventory N G Installation And Administration Guide 1
O C S Inventory N G Installation And Administration Guide 1rossodavide
 
El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova
El caso Solorigate: la exposición de SolarWinds, de SUNBURST a SupernovaEl caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova
El caso Solorigate: la exposición de SolarWinds, de SUNBURST a SupernovaJavier Junquera
 
Blockchain Casestudy in Media industry
Blockchain Casestudy in Media industry Blockchain Casestudy in Media industry
Blockchain Casestudy in Media industry Deval Bhapkar
 
Nist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quanticoNist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quanticoTuan Phan
 
Soc and siem and threat hunting
Soc and siem and threat huntingSoc and siem and threat hunting
Soc and siem and threat huntingVikas Jain
 
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certificationAlphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certificationAlphorm
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhAurélie Henriot
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Introduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsIntroduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsPaul Green
 
Metasploit Demo
Metasploit DemoMetasploit Demo
Metasploit Demon|u - The Open Security Community
 
Security in Windows operating system
Security in Windows operating systemSecurity in Windows operating system
Security in Windows operating systemabdullah roomi
 
Memory Forensics
Memory ForensicsMemory Forensics
Memory ForensicsPrince Boonlia
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Logchuckbt
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdfReZa AdineH
 
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功CODE BLUE
 
Dragos S4x20: How to Build an OT Security Operations Center
Dragos S4x20: How to Build an OT Security Operations CenterDragos S4x20: How to Build an OT Security Operations Center
Dragos S4x20: How to Build an OT Security Operations CenterDragos, Inc.
 
PPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxPPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxRSAArcher
 
Cyber Security challenges in SMART city
Cyber Security challenges in SMART cityCyber Security challenges in SMART city
Cyber Security challenges in SMART cityCharles Lim
 
Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm
 
Red Team vs. Blue Team
Red Team vs. Blue TeamRed Team vs. Blue Team
Red Team vs. Blue TeamEC-Council
 
Alphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Analisis de En Case Forensics
Analisis de En Case ForensicsAnalisis de En Case Forensics
Analisis de En Case ForensicsPablo Llanos Urraca
 
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss PreventionReza Kopaee
 
Pentest with Metasploit
Pentest with MetasploitPentest with Metasploit
Pentest with MetasploitM.Syarifudin, ST, OSCP, OSWP
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 

Más contenido relacionado

La actualidad más candente

Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Introduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsIntroduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsPaul Green
 
Security in Windows operating system
Security in Windows operating systemSecurity in Windows operating system
Security in Windows operating systemabdullah roomi
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Logchuckbt
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Santiago Sánchez
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdfReZa AdineH
 
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功CODE BLUE
 
Dragos S4x20: How to Build an OT Security Operations Center
Dragos S4x20: How to Build an OT Security Operations CenterDragos S4x20: How to Build an OT Security Operations Center
Dragos S4x20: How to Build an OT Security Operations CenterDragos, Inc.
 
PPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxPPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxRSAArcher
 
Cyber Security challenges in SMART city
Cyber Security challenges in SMART cityCyber Security challenges in SMART city
Cyber Security challenges in SMART cityCharles Lim
 
Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm
 
Red Team vs. Blue Team
Red Team vs. Blue TeamRed Team vs. Blue Team
Red Team vs. Blue TeamEC-Council
 
Alphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss PreventionReza Kopaee
 

La actualidad más candente (20)

Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
 
Introduction To Intrusion Detection Systems
Introduction To Intrusion Detection SystemsIntroduction To Intrusion Detection Systems
Introduction To Intrusion Detection Systems
 
Metasploit Demo
Metasploit DemoMetasploit Demo
Metasploit Demo
 
Security in Windows operating system
Security in Windows operating systemSecurity in Windows operating system
Security in Windows operating system
 
Memory Forensics
Memory ForensicsMemory Forensics
Memory Forensics
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Log
 
Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2Cumplimiento de normas pci dss v2
Cumplimiento de normas pci dss v2
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdf
 
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
[CB19] Autopsyで迅速なマルウェアのスキャンとディスク内の簡単調査 by ターナー・功
 
Dragos S4x20: How to Build an OT Security Operations Center
Dragos S4x20: How to Build an OT Security Operations CenterDragos S4x20: How to Build an OT Security Operations Center
Dragos S4x20: How to Build an OT Security Operations Center
 
PPT-Security-for-Management.pptx
PPT-Security-for-Management.pptxPPT-Security-for-Management.pptx
PPT-Security-for-Management.pptx
 
Cyber Security challenges in SMART city
Cyber Security challenges in SMART cityCyber Security challenges in SMART city
Cyber Security challenges in SMART city
 
Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 I
 
Red Team vs. Blue Team
Red Team vs. Blue TeamRed Team vs. Blue Team
Red Team vs. Blue Team
 
Alphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur AndroidAlphorm.com Formation Forensic sur Android
Alphorm.com Formation Forensic sur Android
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Analisis de En Case Forensics
Analisis de En Case ForensicsAnalisis de En Case Forensics
Analisis de En Case Forensics
 
Data Loss Prevention
Data Loss PreventionData Loss Prevention
Data Loss Prevention
 
Pentest with Metasploit
Pentest with MetasploitPentest with Metasploit
Pentest with Metasploit
 

Similar a Taller de Owasp

Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vegaTensor
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerTensor
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficamauromaulinir
 
Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Chema Alonso
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesAlejandro Otegui
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareamaulini
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyWebinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyAlonso Caballero
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 

Similar a Taller de Owasp (20)

Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Subgraph vega web vulnerability scanner
Subgraph vega web vulnerability scannerSubgraph vega web vulnerability scanner
Subgraph vega web vulnerability scanner
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráfica
 
Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftwareGraphic otp generator ultra light 3.2.2_sharpmindsoftware
Graphic otp generator ultra light 3.2.2_sharpmindsoftware
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack ProxyWebinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
 
Effective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and AppsEffective Network Layer: API lovers and Apps
Effective Network Layer: API lovers and Apps
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxy
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 

Más de ULSELSALVADOR

Seguridad Informática. Herramienta para prevenir delitos informáticos
Seguridad Informática. Herramienta para prevenir delitos informáticosSeguridad Informática. Herramienta para prevenir delitos informáticos
Seguridad Informática. Herramienta para prevenir delitos informáticosULSELSALVADOR
 
Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...
Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...
Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...ULSELSALVADOR
 
Estrategias de prevención de ataques informáticos
Estrategias de prevención de ataques informáticosEstrategias de prevención de ataques informáticos
Estrategias de prevención de ataques informáticosULSELSALVADOR
 
Análisis de Ley de Delitos Informáticos y conexos de El Salvador
Análisis de Ley de Delitos Informáticos y conexos de El SalvadorAnálisis de Ley de Delitos Informáticos y conexos de El Salvador
Análisis de Ley de Delitos Informáticos y conexos de El SalvadorULSELSALVADOR
 
Presentación MARN Cambio Climático en El Salvador
Presentación MARN Cambio Climático en El SalvadorPresentación MARN Cambio Climático en El Salvador
Presentación MARN Cambio Climático en El SalvadorULSELSALVADOR
 
Bicarbonato de sodio en Cultivo de Pepino en Universidad Luterana Salvadoreña
Bicarbonato de sodio en Cultivo de Pepino en Universidad Luterana SalvadoreñaBicarbonato de sodio en Cultivo de Pepino en Universidad Luterana Salvadoreña
Bicarbonato de sodio en Cultivo de Pepino en Universidad Luterana SalvadoreñaULSELSALVADOR
 
Fortalecimiento de la vinculación Investigación - Docencia
Fortalecimiento de la vinculación Investigación - DocenciaFortalecimiento de la vinculación Investigación - Docencia
Fortalecimiento de la vinculación Investigación - DocenciaULSELSALVADOR
 
Importancia de la definición pertinente de líneas de investigación y de innov...
Importancia de la definición pertinente de líneas de investigación y de innov...Importancia de la definición pertinente de líneas de investigación y de innov...
Importancia de la definición pertinente de líneas de investigación y de innov...ULSELSALVADOR
 
COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...
COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...
COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...ULSELSALVADOR
 
Importancia de la Investigación Científica en la Educación Superior en El Sal...
Importancia de la Investigación Científica en la Educación Superior en El Sal...Importancia de la Investigación Científica en la Educación Superior en El Sal...
Importancia de la Investigación Científica en la Educación Superior en El Sal...ULSELSALVADOR
 
Desarrollo científico, tecnológico y competitividad
Desarrollo científico, tecnológico y competitividadDesarrollo científico, tecnológico y competitividad
Desarrollo científico, tecnológico y competitividadULSELSALVADOR
 
Centralidad del trabajo y economía del conocimiento
Centralidad del trabajo y economía del conocimientoCentralidad del trabajo y economía del conocimiento
Centralidad del trabajo y economía del conocimientoULSELSALVADOR
 
Economía del Conocimiento y el Mundo Actual
Economía del Conocimiento y el Mundo ActualEconomía del Conocimiento y el Mundo Actual
Economía del Conocimiento y el Mundo ActualULSELSALVADOR
 
Investigación Científica y la Innovación
Investigación Científica y la InnovaciónInvestigación Científica y la Innovación
Investigación Científica y la InnovaciónULSELSALVADOR
 
La Investigación Científica Universitaria
La Investigación Científica UniversitariaLa Investigación Científica Universitaria
La Investigación Científica UniversitariaULSELSALVADOR
 
Metodologia por Proyectos
Metodologia por ProyectosMetodologia por Proyectos
Metodologia por ProyectosULSELSALVADOR
 
TIC con Software Libre: Aprendizaje en el aula
TIC con Software Libre: Aprendizaje en el aulaTIC con Software Libre: Aprendizaje en el aula
TIC con Software Libre: Aprendizaje en el aulaULSELSALVADOR
 
TIC con software libre una perspectiva desde El Salvador
TIC con software libre una perspectiva desde El SalvadorTIC con software libre una perspectiva desde El Salvador
TIC con software libre una perspectiva desde El SalvadorULSELSALVADOR
 
Los retos ambientales en la producción agricola cubana
Los retos ambientales en la producción agricola cubanaLos retos ambientales en la producción agricola cubana
Los retos ambientales en la producción agricola cubanaULSELSALVADOR
 

Más de ULSELSALVADOR (20)

Seguridad Informática. Herramienta para prevenir delitos informáticos
Seguridad Informática. Herramienta para prevenir delitos informáticosSeguridad Informática. Herramienta para prevenir delitos informáticos
Seguridad Informática. Herramienta para prevenir delitos informáticos
 
Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...
Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...
Peritaje Informático. Ley Especial contra los delitos informáticos y conexos ...
 
Estrategias de prevención de ataques informáticos
Estrategias de prevención de ataques informáticosEstrategias de prevención de ataques informáticos
Estrategias de prevención de ataques informáticos
 
Análisis de Ley de Delitos Informáticos y conexos de El Salvador
Análisis de Ley de Delitos Informáticos y conexos de El SalvadorAnálisis de Ley de Delitos Informáticos y conexos de El Salvador
Análisis de Ley de Delitos Informáticos y conexos de El Salvador
 
Presentación MARN Cambio Climático en El Salvador
Presentación MARN Cambio Climático en El SalvadorPresentación MARN Cambio Climático en El Salvador
Presentación MARN Cambio Climático en El Salvador
 
Bicarbonato de sodio en Cultivo de Pepino en Universidad Luterana Salvadoreña
Bicarbonato de sodio en Cultivo de Pepino en Universidad Luterana SalvadoreñaBicarbonato de sodio en Cultivo de Pepino en Universidad Luterana Salvadoreña
Bicarbonato de sodio en Cultivo de Pepino en Universidad Luterana Salvadoreña
 
Fortalecimiento de la vinculación Investigación - Docencia
Fortalecimiento de la vinculación Investigación - DocenciaFortalecimiento de la vinculación Investigación - Docencia
Fortalecimiento de la vinculación Investigación - Docencia
 
Importancia de la definición pertinente de líneas de investigación y de innov...
Importancia de la definición pertinente de líneas de investigación y de innov...Importancia de la definición pertinente de líneas de investigación y de innov...
Importancia de la definición pertinente de líneas de investigación y de innov...
 
COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...
COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...
COHERENCIA DE LAS POLITICAS, OBJETIVOS, ESTRATEGIAS Y ACCIONES EN LAS LINEAS ...
 
Importancia de la Investigación Científica en la Educación Superior en El Sal...
Importancia de la Investigación Científica en la Educación Superior en El Sal...Importancia de la Investigación Científica en la Educación Superior en El Sal...
Importancia de la Investigación Científica en la Educación Superior en El Sal...
 
Desarrollo científico, tecnológico y competitividad
Desarrollo científico, tecnológico y competitividadDesarrollo científico, tecnológico y competitividad
Desarrollo científico, tecnológico y competitividad
 
Centralidad del trabajo y economía del conocimiento
Centralidad del trabajo y economía del conocimientoCentralidad del trabajo y economía del conocimiento
Centralidad del trabajo y economía del conocimiento
 
Economía del Conocimiento y el Mundo Actual
Economía del Conocimiento y el Mundo ActualEconomía del Conocimiento y el Mundo Actual
Economía del Conocimiento y el Mundo Actual
 
Investigación Científica y la Innovación
Investigación Científica y la InnovaciónInvestigación Científica y la Innovación
Investigación Científica y la Innovación
 
La Investigación Científica Universitaria
La Investigación Científica UniversitariaLa Investigación Científica Universitaria
La Investigación Científica Universitaria
 
Metodologia por Proyectos
Metodologia por ProyectosMetodologia por Proyectos
Metodologia por Proyectos
 
TIC EN EL AULA
TIC EN EL AULATIC EN EL AULA
TIC EN EL AULA
 
TIC con Software Libre: Aprendizaje en el aula
TIC con Software Libre: Aprendizaje en el aulaTIC con Software Libre: Aprendizaje en el aula
TIC con Software Libre: Aprendizaje en el aula
 
TIC con software libre una perspectiva desde El Salvador
TIC con software libre una perspectiva desde El SalvadorTIC con software libre una perspectiva desde El Salvador
TIC con software libre una perspectiva desde El Salvador
 
Los retos ambientales en la producción agricola cubana
Los retos ambientales en la producción agricola cubanaLos retos ambientales en la producción agricola cubana
Los retos ambientales en la producción agricola cubana
 

Último

BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...ITeC Instituto Tecnología Construcción
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOSelenaCoronadoHuaman
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfmasogeis
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3AlexysCaytanoMelndez1
 
Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionarmando_cardenas
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Opentix
 
Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTEREMMAFLORESCARMONA
 

Último (7)

BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdf
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
 
Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacion
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200
 
Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTER
 

Taller de Owasp

  • 1. Día de la Seguridad Informática en la ULS TALLER DE OWASP By Jonathan Mejia & Francisco Trejo
  • 2. OWASP Zed Attack Proxy (ZAP) Sitios autorizados para uso en el taller. http://www.delfos-cloud.com http://npwebdesing.tk/assets/cliente/home.php http://computerforense.260mb.net/login.php http://tgm-rrhh.mipropia.com/index.php?action= Login&module=Users
  • 4. FUNCIONALIDADES ● Intercepting Proxy ● Traditional and AJAX spiders ● Automated scanner ● Passive scanner ● Forced browsing ● Fuzzer ● Dynamic SSL certificates ● Smartcard and Client Digital Certificates supporT ● Web sockets support ● Support for a wide range of scripting languages ● Plug-n-Hack support ● Authentication and session support ● Powerful REST based API ● Automatic updating option ● Integrated and growing marketplace of add-ons
  • 5. Intercepting Proxy Proxy de interceptación: ZAP es un proxy de interceptación. Le permite ver todas las solicitudes que realiza en una aplicación web y todas las respuestas que recibe de ella. También funciona para poder examinar la comunicación que existe entre otros dispositivos conectados a la red donde zap sirve de proxy.
  • 6. Traditional and AJAX Spiders Spiders es una herramienta que se utiliza para descubrir automáticamente nuevos recursos (URL) en un Sitio en particular. Comienza con una lista de direcciones URL a visitar, llamadas las semillas, que depende de cómo se inicia la Araña. A continuación, la Araña visita estas URL, identifica todos los hipervínculos de la página y los agrega a la lista de URL a visitar y el proceso continúa recursivamente siempre que se encuentren nuevos recursos.
  • 7. Automated scanner La exploración activa intenta encontrar vulnerabilidades potenciales mediante ataques conocidos contra los destinos seleccionados. Cabe señalar que el escaneo activo sólo puede encontrar ciertos tipos de vulnerabilidades. Las vulnerabilidades lógicas, como el control de acceso roto, no serán encontradas por ningún análisis de vulnerabilidades activo o automatizado. Siempre se deben realizar pruebas de penetración manual además de la exploración activa para encontrar todos los tipos de vulnerabilidades.
  • 8. Passive scanner ZAP analiza pasivamente todas las respuestas de la aplicación web que se está probando. El escaneo pasivo no cambia las respuestas de ninguna manera y por lo tanto es seguro de usar. La exploración se realiza en un subproceso de fondo para garantizar que no ralentiza la exploración de una aplicación.
  • 9. Forced browsing La navegación forzada es un ataque en el que el objetivo es enumerar y acceder a recursos que la aplicación no hace referencia, pero que siguen siendo accesibles.
  • 10. Fuzzer Un fuzzer es un programa que inyecta automáticamente datos semi-aleatorios en un programa / pila y detecta errores. La parte de generación de datos está formada por generadores, y la identificación de vulnerabilidades depende de las herramientas de depuración.
  • 11. Dynamic SSL certificates OWASP ZAP le permite descifrar transparentemente las conexiones SSL. Para ello, ZAP tiene que cifrar cada solicitud antes de enviar al servidor y descifrar cada respuesta, que vuelve. Pero, esto ya es hecho por el navegador. Por eso, la única manera de descifrar o interceptar la transmisión, es hacer un "hombre en el medio" enfoque.
  • 12. Smartcard and Client Digital Certificates supporT OWASP ZAP proporciona soporte de autenticación basado en tarjetas inteligentes para aplicaciones web que utilizan certificados digitales HTTPS (SSL / TLS) y X.509.
  • 13. WebSockets Support WebSockets puede ser utilizado por aplicaciones web o sitios web para configurar un canal de comunicación bidireccional bidireccional (full-duplex) a través de una sola conexión TCP. Cuenta con un protocolo ligero que permite a los desarrolladores realizar casos de uso en tiempo real. Los WebSockets también proporcionan una alternativa al uso intensivo de Ajax, HTTP Long Polling o Comet.
  • 14. Support for a wide range of scripting languages El complemento de secuencias de comandos ZAP le permite ejecutar secuencias de comandos que se pueden incrustar en ZAP y puede acceder a estructuras de datos internas de ZAP. Soporta cualquier lenguaje de scripting compatible con JSR 223
  • 15. Plug-n-Hack support Plug-n-Hack es un estándar propuesto por el equipo de seguridad de Mozilla para definir cómo las herramientas de seguridad pueden interactuar con los navegadores de una manera más útil y útil. Este complemento agrega un botón 'Plug-n-Hack' a la pestaña Quickstart. Si hace clic en este botón, podrá configurar su navegador para que funcione con ZAP rápida y fácilmente.
  • 16. Authentication and session support Autenticación y gestión de sesiones incluye todos los aspectos de la gestión de la autenticación de usuarios y la gestión de las sesiones activas. La autenticación es un aspecto crítico de este proceso, pero incluso los sólidos mecanismos de autenticación pueden verse socavados por las funciones de administración de credenciales defectuosas, como cambiar la contraseña, olvidé mi contraseña, recordar mi contraseña, actualizar la cuenta y otras funciones relacionadas..
  • 17. Powerful REST based API Este proyecto está diseñado para atender el número cada vez mayor de organizaciones que están implementando API potencialmente sensibles como parte de sus ofertas de software. Estas API se utilizan para tareas internas y para interactuar con terceros. Desafortunadamente, muchas APIs no se someten a las rigurosas pruebas de seguridad que las hacen seguras frente a los ataques.
  • 18. Automatic updating option Opción de actualización automáticas del aplicativo y sus funciones.
  • 19. Integrated and growing marketplace of add-ons Si está utilizando la última versión de ZAP, puede buscar y descargar complementos desde ZAP haciendo clic en este botón en la barra de herramientas: