Este documento presenta una introducción a las pruebas de abuso como una actividad dentro del ciclo de testing para verificar aspectos de seguridad en las aplicaciones. Se discuten algunas áreas clave para realizar pruebas de abuso como el manejo de sesiones, la lógica de negocio y el control de acceso. El objetivo es detectar vulnerabilidades de seguridad manipulando las funcionalidades de la aplicación de manera no esperada para explotar controles deficientes y obtener beneficios no pensados.
El documento proporciona una introducción a varias herramientas de seguridad de la información como Snort, OSSEC, Tripwire, Openvas y Nagios. Explica conceptos clave como confidencialidad, integridad y disponibilidad. También describe amenazas comunes como acceso no autorizado, robo de datos e interrupción del servicio. Luego, entra en detalle sobre cómo funcionan Snort, OSSEC y Openvas, incluidos ejemplos de reglas y demostraciones.
Este documento promueve los servicios de asesoría y resolución de ejercicios de ciencias de la empresa Maestros Online. Ofrece apoyo en ejercicios de ciencias a través de correo electrónico o en su página web. Solicita cotizaciones y ofrece seguridad avanzada para proteger la información.
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting
Taller ofrecido por Gastón Marichal y Marcos Manicera (ambos de Uruguay) durante la 3ra edición del Argentesting 2018
En este taller discutiremos por qué es importante verificar la seguridad y cómo se pueden incorporar tareas de seguridad dentro del testing funcional. Presentaremos cómo se relaciona la seguridad con la lógica de negocio, tan conocida por los testers y qué aspectos deberíamos verificar para disminuir los posibles puntos de vulnerabilidad de la misma.
El taller tiene como objetivo presentar un enfoque de pruebas funcionales relacionado a verificar ciertos aspectos de seguridad de nuestros sistemas.
Basado en las guías del OWASP, en el taller se muestran que posibles vulnerabilidades relacionadas a la lógica de negocios que de no ser controladas, podría generar grandes problemas de seguridad.
Conocimientos previos requeridos
Conocimientos básicos de desarrollo de software como HTML, HTTP, Arquitectura básica de sistemas. Conocimiento básico de testing.
Requerimientos
Este taller no requiere computadora.
Gastón Marichal
https://www.linkedin.com/in/gmarichal/
Marcos Manicera
https://www.linkedin.com/in/mmanicera/
0150 como desarrollar_aplicaciones_seguras_con_gene_xusGeneXus
Este documento describe cómo desarrollar aplicaciones seguras con GeneXus enfocándose en las áreas de autenticación y autorización. Explica errores comunes como no validar roles o no usar transacciones de forma segura y cómo GeneXus ayuda mediante encriptación, la propiedad "Ajax Requests Security" y el objeto WebSession. También recomienda buenas prácticas como encriptar contraseñas, solicitar contraseñas fuertes y mantener registros de inicio de sesión.
El documento describe los diferentes tipos y elementos de control interno informático. Explica que el control interno informático se define como cualquier actividad para prevenir errores o irregularidades que puedan afectar el funcionamiento de un sistema. Además, clasifica los controles en preventivos, detectivos y correctivos, y describe varios controles automáticos y administrativos para garantizar la seguridad, exactitud y privacidad de la información.
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Oscar Balderas
¿Administras la Identidad?
• ¿Te preocupa que personas que ya no pertenecen a la Organización, sigan teniendo acceso a tus sistemas?
• ¿Tienes problemas con la administración de múltiples contraseñas a diversas aplicaciones?
• ¿Requieres tener control de qué usuarios tienen acceso a cada recurso en la Organización, tanto en la red interna como en la nube?
• ¿Necesitas reducir el tiempo desde que ingresa la persona a la Organización y recibe los accesos a sus aplicaciones?
• ¿Recibes muchas llamadas para cambio de contraseñas?
Conoce como la identidad y acceso te pueden ayudar con:
• Una sola cuenta y contraseña para acceso a diversas aplicaciones.
• Automatización de creación y revocación de cuentas, centralizando la administración del acceso, garantizando que cada usuario tiene una única identidad.
• Control del ciclo de vida de la administración de accesos e identidades a los recursos de la Organización.
• Autoservicio de contraseña y solicitud de roles o perfiles a través de flujos de autorización
Obteniendo los siguientes beneficios
• Reducción de gastos derivados de garantizar la conformidad a los organismos reguladores, auditores y usuarios internos.
• Minimizar riesgo elevado de incumplimiento:
o Sanciones, perdida de datos, perdida de la confianza del cliente, etc.
• Adiós a los huecos de seguridad derivados de la administración manual.
El documento describe diferentes tipos de controles para sistemas de computación, incluyendo controles preventivos, detectivos, físicos y lógicos. Explica controles específicos como passwords, firmas digitales, validación de campos, conteo de registros y cifras de control. También discute la importancia de cambiar periódicamente las claves de acceso y utilizar software de seguridad en los microcomputadores.
El Estado de la Seguridad de IBM i en 2020HelpSystems
Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos.
Vea este webinar grabado y obtenga información sobre:
Comandos y controles de acceso a la red
Controles de Seguridad a nivel de servidor
Usuarios que pueden acceder a su información privilegiada
Perfiles y Seguridad de contraseñas
Protección anti-virus y malware
Estrategias para auditorías de sistema
El documento proporciona una introducción a varias herramientas de seguridad de la información como Snort, OSSEC, Tripwire, Openvas y Nagios. Explica conceptos clave como confidencialidad, integridad y disponibilidad. También describe amenazas comunes como acceso no autorizado, robo de datos e interrupción del servicio. Luego, entra en detalle sobre cómo funcionan Snort, OSSEC y Openvas, incluidos ejemplos de reglas y demostraciones.
Este documento promueve los servicios de asesoría y resolución de ejercicios de ciencias de la empresa Maestros Online. Ofrece apoyo en ejercicios de ciencias a través de correo electrónico o en su página web. Solicita cotizaciones y ofrece seguridad avanzada para proteger la información.
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting
Taller ofrecido por Gastón Marichal y Marcos Manicera (ambos de Uruguay) durante la 3ra edición del Argentesting 2018
En este taller discutiremos por qué es importante verificar la seguridad y cómo se pueden incorporar tareas de seguridad dentro del testing funcional. Presentaremos cómo se relaciona la seguridad con la lógica de negocio, tan conocida por los testers y qué aspectos deberíamos verificar para disminuir los posibles puntos de vulnerabilidad de la misma.
El taller tiene como objetivo presentar un enfoque de pruebas funcionales relacionado a verificar ciertos aspectos de seguridad de nuestros sistemas.
Basado en las guías del OWASP, en el taller se muestran que posibles vulnerabilidades relacionadas a la lógica de negocios que de no ser controladas, podría generar grandes problemas de seguridad.
Conocimientos previos requeridos
Conocimientos básicos de desarrollo de software como HTML, HTTP, Arquitectura básica de sistemas. Conocimiento básico de testing.
Requerimientos
Este taller no requiere computadora.
Gastón Marichal
https://www.linkedin.com/in/gmarichal/
Marcos Manicera
https://www.linkedin.com/in/mmanicera/
0150 como desarrollar_aplicaciones_seguras_con_gene_xusGeneXus
Este documento describe cómo desarrollar aplicaciones seguras con GeneXus enfocándose en las áreas de autenticación y autorización. Explica errores comunes como no validar roles o no usar transacciones de forma segura y cómo GeneXus ayuda mediante encriptación, la propiedad "Ajax Requests Security" y el objeto WebSession. También recomienda buenas prácticas como encriptar contraseñas, solicitar contraseñas fuertes y mantener registros de inicio de sesión.
El documento describe los diferentes tipos y elementos de control interno informático. Explica que el control interno informático se define como cualquier actividad para prevenir errores o irregularidades que puedan afectar el funcionamiento de un sistema. Además, clasifica los controles en preventivos, detectivos y correctivos, y describe varios controles automáticos y administrativos para garantizar la seguridad, exactitud y privacidad de la información.
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Oscar Balderas
¿Administras la Identidad?
• ¿Te preocupa que personas que ya no pertenecen a la Organización, sigan teniendo acceso a tus sistemas?
• ¿Tienes problemas con la administración de múltiples contraseñas a diversas aplicaciones?
• ¿Requieres tener control de qué usuarios tienen acceso a cada recurso en la Organización, tanto en la red interna como en la nube?
• ¿Necesitas reducir el tiempo desde que ingresa la persona a la Organización y recibe los accesos a sus aplicaciones?
• ¿Recibes muchas llamadas para cambio de contraseñas?
Conoce como la identidad y acceso te pueden ayudar con:
• Una sola cuenta y contraseña para acceso a diversas aplicaciones.
• Automatización de creación y revocación de cuentas, centralizando la administración del acceso, garantizando que cada usuario tiene una única identidad.
• Control del ciclo de vida de la administración de accesos e identidades a los recursos de la Organización.
• Autoservicio de contraseña y solicitud de roles o perfiles a través de flujos de autorización
Obteniendo los siguientes beneficios
• Reducción de gastos derivados de garantizar la conformidad a los organismos reguladores, auditores y usuarios internos.
• Minimizar riesgo elevado de incumplimiento:
o Sanciones, perdida de datos, perdida de la confianza del cliente, etc.
• Adiós a los huecos de seguridad derivados de la administración manual.
El documento describe diferentes tipos de controles para sistemas de computación, incluyendo controles preventivos, detectivos, físicos y lógicos. Explica controles específicos como passwords, firmas digitales, validación de campos, conteo de registros y cifras de control. También discute la importancia de cambiar periódicamente las claves de acceso y utilizar software de seguridad en los microcomputadores.
El Estado de la Seguridad de IBM i en 2020HelpSystems
Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos.
Vea este webinar grabado y obtenga información sobre:
Comandos y controles de acceso a la red
Controles de Seguridad a nivel de servidor
Usuarios que pueden acceder a su información privilegiada
Perfiles y Seguridad de contraseñas
Protección anti-virus y malware
Estrategias para auditorías de sistema
Este documento describe diferentes tipos de controles de información y seguridad de datos, incluyendo controles preventivos, detectivos, correctivos y proactivos. Explica conceptos como segregación de funciones, responsabilidad por controles, seguridad de hardware, software e implementación. También cubre temas de comunicaciones seguras, criptografía simétrica y asimétrica, y firma digital.
El documento presenta una introducción al curso de Auditoría de Sistemas Informáticos. Explica las reglas del curso, el contenido que se verá y el sistema de evaluación. Luego, introduce el rol del Auditor de Sistemas, cubriendo su perfil, responsabilidades y principios éticos. Finalmente, analiza brevemente el caso Arthur Andersen como ejemplo de falta de ética.
El documento resume las 10 vulnerabilidades de seguridad más críticas en aplicaciones web según OWASP (Open Web Application Security Project) para 2017. Estas incluyen inyección, autenticación defectuosa, exposición de datos sensibles, entidades de XML externas, control de acceso defectuoso, configuración insegura, inyección de scripts entre sitios, deserialización insegura, uso de componentes con vulnerabilidades conocidas e insuficiente registro y monitoreo. Se proporcionan ejemplos y recomendaciones para mitigar cada riesgo.
La información son datos procesados y almacenados para tomar decisiones financieras y de negocio de manera eficiente. La auditoría informática verifica los controles internos de los sistemas informáticos para asegurar la integridad, disponibilidad y confidencialidad de la información y detectar fraudes. Sus objetivos incluyen verificar la seguridad física y lógica de los datos y sistemas.
Este documento describe brevemente a OWASP y el OWASP Top 10. OWASP es una comunidad abierta dedicada a ayudar a organizaciones a desarrollar, comprar y mantener aplicaciones seguras. Produce herramientas, literatura y controles de seguridad. El OWASP Top 10 es una lista de los 10 vulnerabilidades más críticas reportadas frecuentemente por empresas de seguridad, con el objetivo de educar a desarrolladores sobre las consecuencias de estas debilidades.
El documento habla sobre la administración y auditoría de centros de datos. Explica conceptos como objetivos de la auditoría informática, manejo de controles de seguridad físicos y lógicos, y evaluación de planes de contingencia. También describe herramientas para la auditoría como observación, cuestionarios, entrevistas, diagramas de flujo y listas de verificación.
Este documento habla sobre la seguridad en la web. Explica que la web es omnipresente y tiene una gran superficie de ataque debido a su complejidad y flexibilidad. Detalla posibles vulnerabilidades como ataques a la autenticación, autorización, validación de entrada y cross-site scripting. También cubre temas como sesiones, cookies, inyección SQL y recomendaciones para desarrollar sitios web seguros.
Este documento es un manual del software ALISSTA para la administración del sistema de gestión de seguridad y salud en el trabajo (SG-SST) de empresas afiliadas a POSITIVA Compañía de Seguros S.A. El manual describe los módulos funcionales del sistema, incluyendo el módulo de Empresa, el cual contiene información sobre la empresa, su gobierno organizacional, consideraciones internas y externas, y relaciones laborales. El sistema permite gestionar datos generales de la empresa, sedes, roles de usuarios, y descargar
El documento describe los aspectos clave de una buena gestión de sistemas informáticos, incluyendo la seguridad de datos, el mantenimiento de servidores y la documentación de sistemas. También cubre controles internos como la división de tareas y la asignación de responsabilidades, así como la identificación de riesgos y la factibilidad de posibles soluciones.
Grupo 3_control interno para la operación de sistemas.pptxReynacalles3
El documento describe cuatro subelementos que garantizan la eficiencia y eficacia en la operación de sistemas: 1) prevenir y corregir errores de operación mediante el monitoreo y verificación, 2) prevenir y evitar la manipulación fraudulenta de información, 3) implementar y mantener la seguridad de la operación a través de medidas preventivas y correctivas, y 4) mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de información. También proporciona ejemplos de herramientas
Este documento presenta la planificación de una auditoría de sistemas a realizarse en la empresa Agrícola San Blas. Se describen los objetivos generales y específicos de la auditoría, como verificar el control de accesos, la fiabilidad de la información y los métodos de desarrollo de sistemas. También incluye una evaluación preliminar del ambiente de control y riesgos del sistema, como pérdida de datos e información errónea. Finalmente, presenta una matriz para evaluar el riesgo de diferentes amenazas como incendios o falta
Este documento describe un proyecto para desarrollar un Sistema de Control de Lavandería (SCL) que ayude a una lavandería a mejorar el control y registro de las prendas de los clientes, los costos de los servicios, y las sanciones por falta de pago. El documento detalla el problema que enfrenta la lavandería, las metas y restricciones del sistema y proyecto, y los roles y responsabilidades de cada miembro del equipo en el desarrollo del SCL.
El documento describe diferentes tipos de controles que se pueden implementar para garantizar la seguridad de la información y los sistemas de computación en una empresa. Estos controles incluyen controles preventivos, detectivos y correctivos. También se describen controles de preinstalación, organización, desarrollo de sistemas, procesamiento, operación y uso de microcomputadoras.
El documento identifica varios riesgos relacionados con el uso de la tecnología de información en las empresas. Menciona riesgos operativos, de sistemas, legales y de reputación. También describe posibles amenazas como fraudes, fallas de seguridad, acceso no autorizado a datos, entre otros. Resalta la importancia de que las empresas establezcan controles y políticas de seguridad para gestionar estos riesgos tecnológicos.
Presentación del webinar Seguridad en WordPress, impartido el 10 de mayo.
En este webinar, José María Baquero, Desarrollador Web en Arsys, explica cómo podemos reducir las vulnerabilidades de WordPress con una serie de medidas muy fáciles de implementar.
Vídeo del webinar disponible en https://www.youtube.com/arsys
Más información en https://blog.arsys.es y https://www.arsys.es
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013Cinthia Soca
Generando aplicaciones seguras con GeneXus. Crear un manejo de permisos de usuarios de mi sistema. Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.
Proyecto Análisis y diseño de sistemas JohannGillis
El documento presenta el análisis y diseño de un proyecto para mejorar una aplicación de bolsa de empleo. Identifica varios problemas como que el sistema es lento, no reconoce archivos PDF y carece de seguridad de datos. Propone soluciones como optimizar el rendimiento, permitir diferentes formatos y encriptar la información. También incluye matrices para analizar los problemas, requerimientos y relaciones entre actores del sistema como usuarios y empresas.
Seguridad en las apis desde un punto de vista de developerCloudAppi
Seguridad en las APIs. Se explican cuales son las consideraciones a tener en cuenta en la seguridad de nuestras APIs, cuales son los principales sistemas de autenticación y autorización y se hace una introducción a los API Managers, con un ejemplo de APIgee y de WSO2.
El documento presenta una introducción a los requisitos funcionales. Explica que los requisitos funcionales describen el comportamiento deseado de un sistema de software. Luego detalla varios tipos de requisitos funcionales, incluidas las reglas de negocio, transacciones, funciones administrativas, autenticación, niveles de autorización y seguimiento de auditoría. Finalmente, proporciona ejemplos ilustrativos de cómo expresar requisitos funcionales para cada tipo.
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Webinar TestingUy - Cuando el testing no es opcionalTestingUy
Expositor: Maximiliano Mannise
-------------------------------------------
Resumen del webinar
-------------------------------------------
Si bien en los tiempos que corren muchas empresas, sino ¿todas? … tienen en su día a día incorporadas las actividades de testing de software, hay sectores que desde siempre lo han tenido en cuenta y forma parte de sus procesos. Este sector agrupa un gran número de sistemas (HW/SW) y son conocidos como SCS (Safety-Critical Systems), sistemas que si fallan ponen en riesgo la vida humana, el medio ambiente o infraestructuras. Están presentes en nuestro día a día: automoción, medicina, aeroespacial, energía, transporte terrestre y marítimo entre otros.
Como testers no siempre se nos da la oportunidad de abordar proyectos en estos sectores. En esta sesión les contaré mi experiencia personal en un proyecto de tren de alta velocidad (actividades de verificación y validación) y más recientemente en el sector médico: certificación de software sanitario para uso en Europa (marcado CE de producto sanitario). Veremos normativas vigentes, el enfoque tradicional de testing y cómo están irrumpiendo los métodos ágiles en el sector.
Si te interesa conocer el testing en este tipo de proyectos, lo que hemos hecho y los desafíos que nos esperan, ¡no te pierdas esta sesión!
-------------------------------------------
Acerca de Maximiliano Mannise
-------------------------------------------
Maximiliano Mannise es Ingeniero en Computación de la Universidad Católica de Uruguay. Comenzó su carrera profesional en IBM Uruguay (1998), pasando por diferentes cargos y proyectos. En 2005 como Test Project Manager donde comienza su relación más directa con la disciplina de test. Actualmente se desempeña como Director de Software Quality en el Instituto Tecnológico de Informática (ITI) Valencia, España. Maximiliano ha participado en múltiples proyectos de calidad de software desde el 2005, en Uruguay, Argentina y desde 2007 en España. Es organizador de VLC Testing (www.vlctesting.es), el principal evento de testing en Valencia.
Linkedin: https://www.linkedin.com/in/mmannise/
Twitter: https://twitter.com/mmannise
Webinar TestingUy - Usando Principios del Testing de Software en Tiempos de C...TestingUy
El documento presenta los principios del testing de software y cómo pueden aplicarse durante la pandemia de COVID-19. Explica que el testing puede identificar defectos en la comunicación de información sobre la enfermedad, como datos limitados o imprecisos, y fake news. También sugiere formas en que los testers pueden ayudar a pensar críticamente sobre la evidencia y mejorar la alfabetización mediática durante esta crisis de salud.
Más contenido relacionado
Similar a Taller evento TestingUY 2017 - Incorporando Seguridad a las Tareas de Testing
Este documento describe diferentes tipos de controles de información y seguridad de datos, incluyendo controles preventivos, detectivos, correctivos y proactivos. Explica conceptos como segregación de funciones, responsabilidad por controles, seguridad de hardware, software e implementación. También cubre temas de comunicaciones seguras, criptografía simétrica y asimétrica, y firma digital.
El documento presenta una introducción al curso de Auditoría de Sistemas Informáticos. Explica las reglas del curso, el contenido que se verá y el sistema de evaluación. Luego, introduce el rol del Auditor de Sistemas, cubriendo su perfil, responsabilidades y principios éticos. Finalmente, analiza brevemente el caso Arthur Andersen como ejemplo de falta de ética.
El documento resume las 10 vulnerabilidades de seguridad más críticas en aplicaciones web según OWASP (Open Web Application Security Project) para 2017. Estas incluyen inyección, autenticación defectuosa, exposición de datos sensibles, entidades de XML externas, control de acceso defectuoso, configuración insegura, inyección de scripts entre sitios, deserialización insegura, uso de componentes con vulnerabilidades conocidas e insuficiente registro y monitoreo. Se proporcionan ejemplos y recomendaciones para mitigar cada riesgo.
La información son datos procesados y almacenados para tomar decisiones financieras y de negocio de manera eficiente. La auditoría informática verifica los controles internos de los sistemas informáticos para asegurar la integridad, disponibilidad y confidencialidad de la información y detectar fraudes. Sus objetivos incluyen verificar la seguridad física y lógica de los datos y sistemas.
Este documento describe brevemente a OWASP y el OWASP Top 10. OWASP es una comunidad abierta dedicada a ayudar a organizaciones a desarrollar, comprar y mantener aplicaciones seguras. Produce herramientas, literatura y controles de seguridad. El OWASP Top 10 es una lista de los 10 vulnerabilidades más críticas reportadas frecuentemente por empresas de seguridad, con el objetivo de educar a desarrolladores sobre las consecuencias de estas debilidades.
El documento habla sobre la administración y auditoría de centros de datos. Explica conceptos como objetivos de la auditoría informática, manejo de controles de seguridad físicos y lógicos, y evaluación de planes de contingencia. También describe herramientas para la auditoría como observación, cuestionarios, entrevistas, diagramas de flujo y listas de verificación.
Este documento habla sobre la seguridad en la web. Explica que la web es omnipresente y tiene una gran superficie de ataque debido a su complejidad y flexibilidad. Detalla posibles vulnerabilidades como ataques a la autenticación, autorización, validación de entrada y cross-site scripting. También cubre temas como sesiones, cookies, inyección SQL y recomendaciones para desarrollar sitios web seguros.
Este documento es un manual del software ALISSTA para la administración del sistema de gestión de seguridad y salud en el trabajo (SG-SST) de empresas afiliadas a POSITIVA Compañía de Seguros S.A. El manual describe los módulos funcionales del sistema, incluyendo el módulo de Empresa, el cual contiene información sobre la empresa, su gobierno organizacional, consideraciones internas y externas, y relaciones laborales. El sistema permite gestionar datos generales de la empresa, sedes, roles de usuarios, y descargar
El documento describe los aspectos clave de una buena gestión de sistemas informáticos, incluyendo la seguridad de datos, el mantenimiento de servidores y la documentación de sistemas. También cubre controles internos como la división de tareas y la asignación de responsabilidades, así como la identificación de riesgos y la factibilidad de posibles soluciones.
Grupo 3_control interno para la operación de sistemas.pptxReynacalles3
El documento describe cuatro subelementos que garantizan la eficiencia y eficacia en la operación de sistemas: 1) prevenir y corregir errores de operación mediante el monitoreo y verificación, 2) prevenir y evitar la manipulación fraudulenta de información, 3) implementar y mantener la seguridad de la operación a través de medidas preventivas y correctivas, y 4) mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de información. También proporciona ejemplos de herramientas
Este documento presenta la planificación de una auditoría de sistemas a realizarse en la empresa Agrícola San Blas. Se describen los objetivos generales y específicos de la auditoría, como verificar el control de accesos, la fiabilidad de la información y los métodos de desarrollo de sistemas. También incluye una evaluación preliminar del ambiente de control y riesgos del sistema, como pérdida de datos e información errónea. Finalmente, presenta una matriz para evaluar el riesgo de diferentes amenazas como incendios o falta
Este documento describe un proyecto para desarrollar un Sistema de Control de Lavandería (SCL) que ayude a una lavandería a mejorar el control y registro de las prendas de los clientes, los costos de los servicios, y las sanciones por falta de pago. El documento detalla el problema que enfrenta la lavandería, las metas y restricciones del sistema y proyecto, y los roles y responsabilidades de cada miembro del equipo en el desarrollo del SCL.
El documento describe diferentes tipos de controles que se pueden implementar para garantizar la seguridad de la información y los sistemas de computación en una empresa. Estos controles incluyen controles preventivos, detectivos y correctivos. También se describen controles de preinstalación, organización, desarrollo de sistemas, procesamiento, operación y uso de microcomputadoras.
El documento identifica varios riesgos relacionados con el uso de la tecnología de información en las empresas. Menciona riesgos operativos, de sistemas, legales y de reputación. También describe posibles amenazas como fraudes, fallas de seguridad, acceso no autorizado a datos, entre otros. Resalta la importancia de que las empresas establezcan controles y políticas de seguridad para gestionar estos riesgos tecnológicos.
Presentación del webinar Seguridad en WordPress, impartido el 10 de mayo.
En este webinar, José María Baquero, Desarrollador Web en Arsys, explica cómo podemos reducir las vulnerabilidades de WordPress con una serie de medidas muy fáciles de implementar.
Vídeo del webinar disponible en https://www.youtube.com/arsys
Más información en https://blog.arsys.es y https://www.arsys.es
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013Cinthia Soca
Generando aplicaciones seguras con GeneXus. Crear un manejo de permisos de usuarios de mi sistema. Evitar que personas no autorizadas puedan autenticarse ante mi aplicación. Asegurar que los usuarios accedan solamente a los datos que que están autorizados a manipular.
Proyecto Análisis y diseño de sistemas JohannGillis
El documento presenta el análisis y diseño de un proyecto para mejorar una aplicación de bolsa de empleo. Identifica varios problemas como que el sistema es lento, no reconoce archivos PDF y carece de seguridad de datos. Propone soluciones como optimizar el rendimiento, permitir diferentes formatos y encriptar la información. También incluye matrices para analizar los problemas, requerimientos y relaciones entre actores del sistema como usuarios y empresas.
Seguridad en las apis desde un punto de vista de developerCloudAppi
Seguridad en las APIs. Se explican cuales son las consideraciones a tener en cuenta en la seguridad de nuestras APIs, cuales son los principales sistemas de autenticación y autorización y se hace una introducción a los API Managers, con un ejemplo de APIgee y de WSO2.
El documento presenta una introducción a los requisitos funcionales. Explica que los requisitos funcionales describen el comportamiento deseado de un sistema de software. Luego detalla varios tipos de requisitos funcionales, incluidas las reglas de negocio, transacciones, funciones administrativas, autenticación, niveles de autorización y seguimiento de auditoría. Finalmente, proporciona ejemplos ilustrativos de cómo expresar requisitos funcionales para cada tipo.
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Similar a Taller evento TestingUY 2017 - Incorporando Seguridad a las Tareas de Testing (20)
Webinar TestingUy - Cuando el testing no es opcionalTestingUy
Expositor: Maximiliano Mannise
-------------------------------------------
Resumen del webinar
-------------------------------------------
Si bien en los tiempos que corren muchas empresas, sino ¿todas? … tienen en su día a día incorporadas las actividades de testing de software, hay sectores que desde siempre lo han tenido en cuenta y forma parte de sus procesos. Este sector agrupa un gran número de sistemas (HW/SW) y son conocidos como SCS (Safety-Critical Systems), sistemas que si fallan ponen en riesgo la vida humana, el medio ambiente o infraestructuras. Están presentes en nuestro día a día: automoción, medicina, aeroespacial, energía, transporte terrestre y marítimo entre otros.
Como testers no siempre se nos da la oportunidad de abordar proyectos en estos sectores. En esta sesión les contaré mi experiencia personal en un proyecto de tren de alta velocidad (actividades de verificación y validación) y más recientemente en el sector médico: certificación de software sanitario para uso en Europa (marcado CE de producto sanitario). Veremos normativas vigentes, el enfoque tradicional de testing y cómo están irrumpiendo los métodos ágiles en el sector.
Si te interesa conocer el testing en este tipo de proyectos, lo que hemos hecho y los desafíos que nos esperan, ¡no te pierdas esta sesión!
-------------------------------------------
Acerca de Maximiliano Mannise
-------------------------------------------
Maximiliano Mannise es Ingeniero en Computación de la Universidad Católica de Uruguay. Comenzó su carrera profesional en IBM Uruguay (1998), pasando por diferentes cargos y proyectos. En 2005 como Test Project Manager donde comienza su relación más directa con la disciplina de test. Actualmente se desempeña como Director de Software Quality en el Instituto Tecnológico de Informática (ITI) Valencia, España. Maximiliano ha participado en múltiples proyectos de calidad de software desde el 2005, en Uruguay, Argentina y desde 2007 en España. Es organizador de VLC Testing (www.vlctesting.es), el principal evento de testing en Valencia.
Linkedin: https://www.linkedin.com/in/mmannise/
Twitter: https://twitter.com/mmannise
Webinar TestingUy - Usando Principios del Testing de Software en Tiempos de C...TestingUy
El documento presenta los principios del testing de software y cómo pueden aplicarse durante la pandemia de COVID-19. Explica que el testing puede identificar defectos en la comunicación de información sobre la enfermedad, como datos limitados o imprecisos, y fake news. También sugiere formas en que los testers pueden ayudar a pensar críticamente sobre la evidencia y mejorar la alfabetización mediática durante esta crisis de salud.
Webinar TestingUy - Sesgos cognitivos en las pruebas. El lado más humano de...TestingUy
Expositor: Francisco Moreno
-------------------------------------------
Resumen del webinar
-------------------------------------------
Dentro de cualquier proyecto o equipo trabajo el mayor aporte valor de un tester se da cuando participa en la definición de las historias de usuario, define pruebas de aceptación previas al desarrollo, aporta ejemplos de casos de uso, realiza pruebas exploratorias, empatiza con los usuarios y propone ideas que mejoran el producto final. Todo ello requiere un proceso de aprendizaje, asimilación, comprensión y evaluación de posibilidades que finalmente se traducirá en unas pruebas a realizar sobre el sistema.
Todas las etapas enumeradas anteriormente suponen un proceso mental complejo donde intervienen tanto capacidades análiticas, memorísticas como emocionales. Es por esto, que, como seres humanos, no podemos suponer que dichas capacidades no se ven afectadas por nuestra propia percepción del mundo, experiencias pasadas, entorno, educación recibida, edad, sexo, color de piel, etc.
Es decir, como contraposición al scripting testing más puro y al checking automático es precisamente el factor humano el que aporta más valor a las pruebas, pero a su vez, los sesgos que todas las personas “arrastramos” y que forman una parte de nosotros puede que las pruebas se vean afectadas negativamente.
Existen documentados multitud de sesgos cognitivos, en la charla veremos cómo pueden afectar algunos de ellos a las pruebas y cómo mitigar sus efectos.
-------------------------------------------
Acerca de Francisco
-------------------------------------------
Francisco Moreno es Ingeniero Informático y PMP con más de 8 años de experiencia en múltiples disciplinas relativas a la ingeniería del software, especialmente automatización de pruebas, QA, diseño y arquitectura de sistemas, ingeniería de requisitos, integración, desarrollo y gestión de
proyectos.
https://www.linkedin.com/in/franciscomorenosanz/
https://twitter.com/morvader
Webinar TestingUy - Thinking outside the box: Cognitive bias and testingTestingUy
Speaker: Lisa Crispin
-------------------------------------------
Abstract
-------------------------------------------
Finding bugs requires detective work. You look for evidence, you interrogate witnesses - and some of those might not be telling the truth! You need lateral thinking to find your perpetrator.
As testers, we often hear that the capability to think outside the box is an essential skill to have. In fact, this skill is great to have even if you’re not a tester. Thinking outside the box permits you to generate new and innovative ideas, to find bugs that nobody could think about, it can also help you find completely new ways to solve problems.
We all have unconscious biases that can limit our observational skills and creativity. In this session, we’ll discuss lateral vs. vertical thinking, and explain how our brain’s “wiring” can make thinking outside the box be difficult.
Lisa will talk about several common cognitive biases that can work against us and get in the way of effective testing. She may challenge you to try some games that promote lateral thinking, as best we can in a virtual conference! You’ll get some guidance on how to keep building up your lateral thinking “muscles”.
-------------------------------------------
About Lisa
-------------------------------------------
Quality Owner focused on Observability at OutSystems. Co-founder, with Janet Gregory, of the agile Testing Fellowship, with our three day "Agile Testing for the Whole Team" course available around the world - and soon, to be available virtually!
Hands-on tester on high-performing agile teams since 2000. Co-author with Janet Gregory, Agile Testing Condensed, Agile Testing: A Practical Guide for Testers and Agile Teams, More Agile Testing: Learning Journeys for the Whole Team, "Agile Testing Essentials" video course. Contributor to Beautiful Testing and Experiences in Test Automation. Co-author of Testing Extreme Programming Mission: Bringing testing joy to the agile and DevOps worlds, and agile/DevOps joy to the testing world.
Specialties: Agile testing, finding good ways for teams to deliver high quality software
https://www.linkedin.com/in/lisa-crispin-88420a/
https://twitter.com/lisacrispin
Este documento es una invitación para el evento TestingUY 2020 el 26 de febrero. Presenta a la oradora Ing. Claudia Badell, quien tiene más de 14 años de experiencia en testing y ha sido oradora en varios eventos internacionales de testing. También resume su experiencia profesional y certificaciones en testing. Por último, proporciona detalles sobre TestingUY como conferencia de software con más de 3000 asistentes en las últimas 6 ediciones y oradores internacionales.
Meetup TestingUy 2019 - Plataforma de integración y testing continuoTestingUy
Oradores: Javier Castro y Mónica Wodzislawski
Resumen: Muchas organizaciones comienzan a aplicar metodologías ágiles para la construcción de productos de software. Sin embargo, en nuestra experiencia en el Centro de Ensayos de Software (CES), a través de múltiples proyectos y consultorías de testing de software, observamos que las empresas enfrentan dificultades importantes para articular las actividades de desarrollo, testing y puesta en producción, con la eficiencia y calidad requerida.
Se presentará una plataforma de integración continua que incluye el testing automatizado en los diferentes niveles de la pirámide de Cohn. Esta plataforma sirve como prototipo para presentar en la industria de TI, mostrar sus beneficios y contribuir a resolver los obstáculos que enfrentan las empresas y organizaciones.
Meetup TestingUy 2019 - May the automation be with youTestingUy
Oradora: Melina Nogueira
Resumen: Experiencia de Arbusta en esta transición de identificar skills para reconvertir testers manuales en automatizadores y generar equipos híbridos.
Meetup TestingUy 2019 - De árboles, de bosques y de selvas ¿qué visión tengo ...TestingUy
Oradores: Giuliana Bentancor y Matías Pírez
Resumen: Ya sean pruebas modulares, de integración o de sistema, toda funcionalidad bajo prueba es parte de un sistema más complejo que a su vez está embebido en una organización que se rige por reglas, pautas y normas todavía más generales. Muchas veces las pruebas se sesgan en la funcionalidad estudiada sin terminar de comprender el negocio del que son parte, pero incluso cuando se intenta encarar las pruebas desde la perspectiva del negocio cabe la pregunta: ¿realmente conozco el negocio? ¿qué implica conocerlo? ¿cómo puedo hacer para obtener esta información?
Meetup TestingUy 2019 - En clave de protocolo con apache JMeterTestingUy
Orador: Gustavo Mažeikis
Resumen: Cuando nos enfrentamos a la tarea de probar una aplicación en Internet es importante conocer cuál es su arquitectura y cómo son las relaciones entre sus componentes. Los mensajes que envían las partes, las acciones que se producen como respuesta y las reglas que gobiernan esos intercambios, son piezas clave para alcanzar ese entendimiento. Porque, al igual que en muchas actividades humanas, el comportamiento de las aplicaciones está regido por protocolos. En esta presentación compartiremos cómo el conocimiento de alguno de estos protocolos y de Apache JMeter nos ayudó en la resolución de un problema práctico en la organización del evento TestingUy.
Meetup TestingUy 2019 - Si Tony Stark fuera TesterTestingUy
Orador: Claudio Posada
Resumen: Comienzas un proyecto y ya tienes elegido el equipo, la metodología, la arquitectura de pruebas, las herramientas. Todo resulta fantástico hasta que constatas que van a pasar semanas hasta que se encuentre disponible la infraestructura necesaria.
¿Porque esto nunca le pasa a Tony Stark? ¿Que tal si pudieras disponer de toda la infraestructura de testing en minutos? ¿Crear y destruir ambientes a demanda? ¿Disponer de Stressors con un límite teórico infinito?
Te invito a vivir la experiencia de ser parte de Industrias Stark por 30 minutos. Descubriremos junto, como Platform as a Service (de la mano de Openshift) cambia nuestra forma de trabajar y nos lleva al siguiente nivel. Luego quedará en ti decidir si volver atrás o impulsar el cambio.
Meetup TestingUy 2019 - ¿Test cases? ¿Son siempre necesarios?TestingUy
Expositor: Edgardo Crovetto
Resumen: ¿Cuántas veces pasa que hay que hacer tests cases por el hecho de hacerlos y además hechos para ayer porque no hay tiempo?¿Qué podemos hacer para mantener el máximo cubrimiento de prueba y mínima documentación?
El objetivo es realmente enfocarnos en hacer entrega de un producto de calidad, sin la obligación de crear documentación innecesaria por el hecho de hacerlo. Al mismo tiempo, poder mostrar cubrimiento de pruebas apropiado y hacer los informes necesarios para poder estar confiados que se está entregando con calidad.
En esta charla trataremos de dar un enfoque para poder elegir una buena estrategía en base a algún caso práctico.
Charla TestingUy 2019 - ¿Podemos hacer que la seguridad sea usable?TestingUy
El documento resume una presentación sobre cómo hacer que la seguridad informática sea más usable desde la perspectiva del usuario. Se discuten los retos que plantean los estándares actuales de seguridad como las contraseñas complejas y su baja usabilidad. Se proponen soluciones como el uso de frases de varias palabras en lugar de contraseñas aleatorias y considerar la usabilidad desde el inicio del diseño de sistemas.
Charla TestingUy 2019 - Testers as Test Consultants: How to learn the skills?TestingUy
Expositor: Lisa Crispin
Resumen: When defining what “modern testing” means to him, Alan Page has said that testers on cross-functional teams should also be testing coaches. Lisa and her co-author Janet Gregory like to think of testers playing a “test consultant” role. Wait, yet another set of skills we have to learn to be successful testers? Not to worry. The skills that make us valuable testers let us help others on our team improve their testing skills. Testers are great at asking questions, providing quick feedback, identifying and solving problems. Lisa will explore ways to grow and apply the skills we already use to help non-testers learn to prevent bugs and build quality in. And she’ll talk about new skills we may need to learn to succeed as test consultants, and how to learn them.
Learning intentions:
- Why testers need to be test consultants, rather than do all the testing themselves
- Skills a tester needs to help others on their cross-functional team learn how to do testing activities themselves
- Ways we can learn and practice these skills
The document discusses the results of a study on the impact of climate change on wheat production. Researchers found that higher temperatures and changing precipitation patterns due to climate change will significantly reduce wheat yields across major wheat-producing regions by the end of the century. Reductions in wheat production are projected to range from 6-27% depending on future greenhouse gas emissions and efforts to adapt farming techniques to new climate conditions.
Charla TestingUy 2019 - Patterns Para Enseñar Testing a Personas que No Desar...TestingUy
Expositor: Juliana Herbert
Resumen: Los profesionales que confían en el software para la ejecución de actividades cada vez más críticas y complejas también deben saber probarlo. Aunque estos profesionales no sean testers, enseñarles técnicas de testing aumenta su poder de análisis y de crítica, pues así es posible una investigación técnica cualificada. Esta investigación puede realizarse en profundidad si el profesional sabe utilizar su conocimiento de dominio de forma dirigida, buscando la realización de pruebas eficientes (que revelen defectos).
Esta charla presenta cuatro patterns para enseñar pruebas de software a no desarrolladores. Estos patterns se derivaron a partir de la experiencia de la proponente como instructora y profesora en cursos de testing en varios niveles de formación, para profesionales sin experiencia en desarrollo de software. Los patterns consideran el enfoque basado en el contexto, utilizando la estrategia basada en el riesgo, testing exploratorio y de caja negra. Para definir los patterns, fueron consideradas “patterns pedagógicos”, que captan el conocimiento de la práctica de la enseñanza y el aprendizaje y “testing patterns”. Los patterns que serán presentados en esta charla pueden ayudar a los profesores e instructores a enseñar el testing de software de manera significativa, cambiando el comportamiento y no solo aprendiendo conceptos.
Charla TestingUy 2019 - Contract Testing con PactTestingUy
El documento habla sobre Pact, una herramienta de testing de contratos entre consumidores y proveedores de servicios. Pact permite definir contratos de API que describen las interacciones esperadas entre servicios, y verificar que los cambios no rompan la compatibilidad. La presentación explica cómo Pact funciona, integrándose con herramientas de integración continua para verificar contratos de forma automática con cada despliegue.
Charla TestingUy 2019 - Testing de chatbotsTestingUy
Expositores: Paula Martínez y Rodrigo Beceiro
Resumen: En esta charla compartiremos nuestra experiencia en el testing de Chatbots. Veremos cómo funciona un chatbot y cuál es el estado del arte en esta tecnología. Hablaremos del procesamiento del lenguaje natural realizado por ellos buscando comprender qué debemos testear.
Analizaremos tanto la comprensión del chatbot como el manejo de sus flujos de diálogo y las dificultades que las conversaciones naturales no estructuradas representan para nosotros en el diseño, desarrollo así como en el testing.
Hablaremos también de herramientas de testing automático para chatbots y discutiremos qué limitantes presentan para nosotros herramientas como IBM Watson, Microsoft LUIS y Google Dialogflow.
Charla TestingUy 2019 - Cypress.io - Automatización al siguiente nivelTestingUy
El documento presenta una charla sobre Cypress.io, una herramienta de automatización de pruebas. Cypress permite automatizar pruebas de forma rápida y sencilla sin necesidad de configurar dependencias extra o elementos de espera explícitos. Ofrece funciones como depuración, videos y registro de consola que facilitan el debuggeo. Aunque no soporta pruebas multi-navegador, Cypress puede integrarse en todas las fases de prueba y en el proceso de desarrollo continuo gracias a su capacidad de ejecutarse de forma paralela
Charla testingUy 2019 - ¿De dónde venimos y qué se nos viene? - Evolución de ...TestingUy
El documento resume la evolución de los servicios de pruebas y aseguramiento de calidad en Uruguay desde 2001 hasta la actualidad. Explica cómo inicialmente las empresas solicitaban estos servicios en las fases finales de los proyectos, pero ahora se involucran desde etapas tempranas. También describe cómo los perfiles requeridos han cambiado para incluir más conocimientos técnicos y habilidades blandas, así como las tendencias hacia una mayor automatización y enfoque en la experiencia del usuario.
Charla TestingUy 2019 - Pruebas de rendimiento, experiencias en la plataforma...TestingUy
Expositor: Anisbert Suárez Batista
Resumen: Las pruebas de rendimiento tienen un papel crucial para garantizar la calidad del servicio que ofrece PedidosYa, plataforma de comercio electrónico que conecta a los consumidores con restaurantes, farmacias, supermercados, etc., mediante la solicitud de pedidos online. Durante esta charla se presenta cómo contribuyen las pruebas de rendimiento al proceso de desarrollo, qué aplicaciones prácticas han tenido, qué herramientas se utilizan para la planificación, ejecución y reporte de las pruebas y qué lecciones aprendidas y buenas prácticas han permitido la mejora continua del proceso de prueba.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
para programadores y desarrolladores de inteligencia artificial y machine learning, como se automatiza una cadena de valor o cadena de valor gracias a la teoría por Manuel Diaz @manuelmakemoney
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)codesiret
Los protocolos son conjuntos de
normas para formatos de mensaje y
procedimientos que permiten a las
máquinas y los programas de aplicación
intercambiar información.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
SOPRA STERIA presenta una aplicació destinada a persones amb discapacitat intel·lectual que busca millorar la seva integració laboral i digital. Permet crear currículums de manera senzilla i intuitiva, facilitant així la seva participació en el mercat laboral i la seva independència econòmica. Aquesta iniciativa no només aborda la bretxa digital, sinó que també contribueix a reduir la desigualtat proporcionant eines accessibles i inclusives. A més, "inCV" està alineat amb els Objectius de Desenvolupament Sostenible de l'Agenda 2030, especialment els relacionats amb el treball decent i la reducció de desigualtats.
Taller evento TestingUY 2017 - Incorporando Seguridad a las Tareas de Testing
1. INCORPORANDO
SEGURIDAD A LAS TAREAS
DE TESTING.
Gastón Marichal
gmarichal@genexuscosulting.com
@gamarichal
Rodrigo de la Fuente
rdelafuente@genexusconsulting.com
15 y 16 de mayo, 2017
www.testinguy.org
#testinguy |@testinguy
7. Introducción - Objetivos
o Disminuir la cantidad de vulnerabilidades de
seguridad que llegan a producción.
o Poner a prueba los mecanismos de seguridad de la
aplicación y su adecuación con estándares y buenas
prácticas de seguridad.
8.
9. Introducción - ¿Por qué en testing?
o Incorporar otro nivel de seguridad en etapas
tempranas.
o Si llega a Producción, ya es demasiado tarde.
o Cuanto antes se detecte, menor será el costo de
arreglo
o La seguridad no es solo tarea de hackers
10. Introducción - ¿Por qué en testing?
o Relacionado con el testing funcional de la aplicación.
o Acceso a la documentación y características del
sistema.
o Mayor conocimiento de la aplicación
o Ejecución controlada en ambientes de test y pre-prod.
11. Introducción - ¿Cómo lo haremos?
o Incorporando la realización de Pruebas de Abuso
como una actividad dentro del ciclo de testing para
verificar aspectos de seguridad en las aplicaciones.
12. Introducción - Pruebas de abuso
o Utilizar las funcionalidades de la aplicación de una
manera no pensada.
o Se busca manipular las reglas de negocio, para
obtener un beneficio.
o Explotar controles deficientes y cursos alternativos
no pensados.
13. Introducción – Consideraciones
oNo es un test de seguridad completo.
o Se enfoca únicamente en las funcionalidades
oNo suplanta a un test de penetración.
o El test de penetración es otra barrera de seguridad
necesaria
14. Introducción - Organización del seminario
o Casos de Abuso sobre una aplicación web
o Ejemplos de posibles vulnerabilidades
o Recomendaciones y Buenas Prácticas de seguridad
17. Manejo de sesiones
o Inicio de sesión.
o Gestión de las contraseñas.
o Actualización de los datos.
o Gestión de la sesión.
18. Inicio de Sesión - Definición
o Mecanismo por el cual el sistema valida que la
entidad es quien dice ser.
o Distintas formas:
o Algo que conozco - Usuario / Password
o Algo que poseo - Certificado Digital
o Algo que soy - Biometría
19. Inicio de Sesión - Buenas prácticas
o Nombres de usuario no deben diferenciar
mayúsculas y minúsculas.
20. Inicio de Sesión - Buenas prácticas
o No permitir enumeración de usuarios
o Usuario y/o password incorrectos.
o Credenciales incorrectas.
21. Inicio de Sesión - Buenas prácticas
o Bloquear usuarios luego de varios intentos
fallidos.
o Bloquear temporalmente la cuenta
oTiempos incrementales (20 seg, 1 min, 5 min)
o Bloquear la sesión si continúan los intentos.
o Agregar Captcha en la pantalla tras varios intentos del
usuario.
22. Inicio de Sesión - Buenas prácticas
o Mantener un log de cada intento de
autenticación fallida.
o Almacenando:
oIP Origen
oUsername utilizado
oResultado
23. Inicio de Sesión - Buenas prácticas
o Evitar credenciales por parámetro y credenciales en
texto claro.
24. Gestión de las contraseñas
o Fortaleza de las contraseñas:
o Una contraseña se considera fuerte cuando es
difícil de adivinar por medio de un atacante.
o Deben estar alineada a los requerimientos del
proyecto/sistema.
25. Gestión de las contraseñas
o Fortaleza de las contraseñas – Consideraciones
o Largo (mínimo y máximo)
o Juegos de caracteres (a-z,A-Z,0-9, especiales)
o Periodo de validez
o Histórico
o Etc.
26. Gestión de las contraseñas
DEMO 1 - Recuperación de la contraseña:
Si es posible adivinar una preguntas secretas,
entonces no es segura!
o Equipo favorito de futbol
o Ciudad de Nacimiento
o Apellido de la madre
28. Gestión de las contraseñas
Recuperación de la contraseña
o Las preguntas secretas no deben ser predecibles.
o Información del usuario:
oRedes sociales
oPágina de la empresa
oIngeniería Social
29. Gestión de las contraseñas
Recuperación de la contraseña
o Enviar un token utilizando otro canal.
o E-mail, sms, etc.
o Válido por única vez, por cierto tiempo.
o Cambio de la contraseña o creación de una nueva
no predecible.
o La contraseña no debe ser recuperable.
30. Gestión de las contraseñas
Recuperación de la contraseña
o No bloquear el login del usuario.
o Bloquear la sesión web tras varios intentos fallidos.
o No pedir nuevo email.
o Enviar al mail que tiene registrado el usuario.
31.
32. Actualización de los datos - Buenas prácticas
Siempre pedir contraseña para confirmar cambios de:
o Username
o E-mail
o Password
Ya que son utilizados para:
o Iniciar sesión.
o Recuperar contraseña.
o Notificar los cambios.
33. Actualización de los datos - Buenas prácticas
Notificar dicho cambio al usuario:
o email (original)
o sms
o Llamada
34. Gestión de la sesión.
o Proceso por el cual el servidor conserva el estado de
una entidad con la cual está interactuando.
o Almacenadas en el servidor utilizando un
identificador de sesión, que deben ser únicos por
usuario y difíciles de predecir.
o Enviado entre el cliente y el servidor en cada pedido
y respuesta.
37. Gestión de la sesión.
Cierre de sesión:
o Logout: Manual al salir del sistema
o Expiración: Automática, luego de un tiempo
determinado de inactividad.
o Destruir sesión en el servidor
38. Gestión de la sesión.
DEMO 2 - Cierre de sesión: Logout manual
Verificar mecanismos de destrucción de sesiones, si estos
Faltan/Fallan la sesión puede no cerrarse y permitir que
otros usuarios operen bajo mi sesión.
39. Gestión de la sesión.
DEMO 3 - Cierre de sesión: Robo de sesión
Ingresar con la misma sesión de un usuario
autenticado, aunque haya cerrado sesión.
41. Lógica de Negocio - Definición
o Son las reglas mediante las cuales se rige el
sistema.
o Conformado por las funcionalidades del sistema.
o Es única para cada aplicación.
o Documentada en casos de uso.
42. Lógica de Negocio - Explotación
Se necesita pensar diferente
o Fuera del uso convencional del sistema
o Utilizar la creatividad y experiencia
Es un trabajo manual
o Difícil de automatizar
o Requiere conocer el sistema, sus reglas y
procedimientos de negocio (Documentación)
43. Lógica de Negocio - Atacante
o Intentar explotar la lógica del negocio
o Obtener ventajas/beneficios extras
o Aprovechar funcionalidades/controles deficientes
44. Lógica de Negocio - ¿Qué hacer?
o Debemos pensar como un atacante
o Conocer el software y sus características
o Detectar posibles puntos de vulnerabilidad
o Verificarlos ejecutando casos de mal uso o abuso
del software
45. Lógica de Negocio - Verificación
o Validación de datos de la lógica de negocio
o Capacidad para manipular solicitudes
o Controles de integridad
o Timing de procesos
o Limitar uso de funciones (cantidad)
o Evasión de flujo normal de trabajo
o Carga de archivos no esperados y/o maliciosos
46. Lógica de Negocio - Verificación
Validaciones de datos de la lógica de negocio
o El sistema no debe “confiar” en los datos que recibe, un
atacante puede insertar datos lógicamente inválidos
o Los datos pueden ser manipulados durante el proceso
oEtapas del workflow
oPuntos de comunicación con otros sistemas
oTráfico HTTP
o Deben existir mecanismos que validen estos datos.
47. Lógica de Negocio - Verificación
Validaciones de datos de la lógica de negocio
o Con solo verificar los datos en el cliente no es suficiente
oSe puede interceptar el tráfico y enviar datos lógicamente
inválidos
48. Lógica de Negocio - Verificación
Ej.: Validaciones de datos de la lógica de negocio
Sub-sistema de
Compras
Sub-sistema de
Despacho
49. Lógica de Negocio - Verificación
Validaciones de datos de la lógica de negocio
¿Como probar?
oDetectar los puntos de entrada o comunicación del sistema.
oRealizar un testeo exploratorio ingresando o modificando
datos lógicamente inválidos en el sistema:
oUtilizando la UI.
oCapturando y modificando el tráfico HTTP.
oTambién revisar comunicación entre sistemas.
50. Lógica de Negocio - Verificación
DEMO 4 - Validaciones de los datos
Realizar una transferencia con otro tipo de moneda
51. Lógica de Negocio - Verificación
DEMO 5 - Validaciones de los datos
Realizar una transferencia con saldos negativos
- 1000
52. Lógica de Negocio - Verificación
Capacidad para moldear solicitudes
o El atacante puede saltear la GUI y enviar información
directamente al servidor.
o Mediante un proxy se envían peticiones HTTP POST/GET con
valores inválidos para la lógica de negocio
o Incompatibles, no soportados, no esperados
o Se busca poder predecir o adivinar parámetros
o Exponer funcionalidades o pantallas ocultas del sistema.
53. Lógica de Negocio - Verificación
o Ej.: Capacidad para moldear solicitudes
PurchaseTicket?newUser=1
10% off
PurchaseTicket?newUser=0
10% off
PurchaseTicket?newUser=1
54. Lógica de Negocio - Verificación
Capacidad para moldear solicitudes
o ¿Qué debe hacer el sistema?
o Contar con chequeos lógicos en los lugares clave para
prevenir que se acepten este tipo de peticiones.
o Bloquear peticiones que no provengan de un usuario
verificado
o Evitar que el sistema delate su propia estructura
55. Lógica de Negocio - Verificación
Capacidad para moldear solicitudes
o ¿Como probar?
oRevisar en busca de funcionalidades y campos que puedan
ser predecibles o estar ocultos.
oObservar el tráfico HTTP en busca de valores que sean
predecibles o adivinables (autoincrementales, etc).
oObservar el tráfico HTTP en busca de funcionalidades ocultas
como pantallas de desarrollo o testeo.
56. Lógica de Negocio - Verificación
DEMO 6 - Capacidad para moldear solicitudes
Consultar estado de cuenta de otros usuarios,
cambiando el parámetro que viaja en la URL.
57. Lógica de Negocio - Verificación
DEMO 7 - Capacidad para moldear solicitudes
Mediante un proxy, buscar código comentado y
acceder a objeto de test.
58. Lógica de Negocio - Verificación
Controles de integridad
o Los campos ocultos o no editables que muestran información al
usuario, pueden ser manipulados en el cliente.
o El sistema no debe confiar en que estos valores no serán
alterados por un usuario.
59. Lógica de Negocio - Verificación
Controles de integridad
o Si se expone información de negocio al usuario (cantidades,
precios, stock, etc.) , se debe mantener una copia en el
servidor y utilizarla para los procesos.
o Los procesos o funcionalidades no deben depender de estos
valores ocultos o no editables.
60. Lógica de Negocio - Verificación
Controles de integridad
o ¿Como probar?
oBuscar componentes que manipulen o actualicen información.
61. Lógica de Negocio - Verificación
Controles de integridad
o ¿Como probar?
oBuscar componentes que manipulen o actualicen información.
oRevisar el tráfico HTTP en busca de campos ocultos o no
editables.
oIntentar modificar dicha información con valores inválidos.
62. Lógica de Negocio - Verificación
Controles de integridad
GUI
Controles
Canal de comunicación
Cliente
63. Lógica de Negocio - Verificación
DEMO 8 - Controles de integridad
Reducir el porcentaje de recargo de un prestamos,
manipulando la taza de recargo del mismo (GUI).
64. Lógica de Negocio - Verificación
Timing de procesos
oIdentificar funcionalidades del sistema que puedan ser
afectadas por el transcurso del tiempo.
oObtener ventajas basadas en el tiempo de operación con el
sistema.
oPrecios variantes en el correr del día
oBloquear temporalmente otros usuarios
66. Lógica de Negocio - Verificación
Ej.: Timing de procesos (2)
15:00
Price: 150
10:00
Price: 100
20:00
Price: 200
67. Lógica de Negocio - Verificación
Limitar uso de funciones (cantidad)
o ¿Que es?
o El sistema posee funciones que deben tener un control
sobre la cantidad de veces que se utiliza un elemento o
ejecuta una acción.
68. Lógica de Negocio - Verificación
Ej.: Limitar uso de funciones (cantidad)
o Reutilizar un descuento.
o Confirmar varias veces una acción.
o Cambiar o Forzar contraseñas.
69. Lógica de Negocio - Verificación
Limitar uso de funciones (cantidad)
o ¿Como probar?
o Identificar las funciones u operaciones que no deberían
ser ejecutadas más de una cierta cantidad de veces.
o Intentar ejecutarlas más de la cantidad de veces
permitidas, mediante browser o tráfico http.
70. Lógica de Negocio - Verificación
Evasión del flujo normal de trabajo
o ¿Que es?
o Permite al atacante eludir el flujo normal o esperado de
trabajo.
o No seguir la secuencia normal de operaciones.
71. Lógica de Negocio - Verificación
Ej.: Evasión del flujo normal de trabajo
o Saltear algún paso del flujo de trabajo donde no se
cuenten con mecanismos de control que dirijan las
operaciones hacia el orden correcto.
72. Lógica de Negocio - Verificación
Evasión del flujo normal de trabajo
o ¿Como probar?
o Saltear o ejecutar ciertos pasos de la aplicación en un
orden no deseado del flujo lógico y forzar una acción que
no es la esperada en esa etapa del proceso.
73. Lógica de Negocio - Verificación
Evasión del flujo normal de trabajo
o ¿Como probar?
o Identificar aquellas transacciones en las cuales se
maneje algún activo como puntos o créditos. Cancelar o
reducir la oferta final de cada transacción y verificar que
los puntos/créditos se ajusten correctamente.
74. Lógica de Negocio - Verificación
Evasión del flujo normal de trabajo
o ¿Como probar?
o Para cada formulario, introducir valores iniciales
válidos en sus campos. Posteriormente intentar editar
o eliminar dichos valores dejando los mismos en un
estado inválido y confirmar.
75. Lógica de Negocio - Verificación
DEMO 10 - Evasión del flujo normal de trabajo
Aceptar un préstamo que aún no fue aprobado.
76. Lógica de Negocio - Verificación
Carga de archivos no esperados y/o maliciosos
o ¿Que es?
o Verificar cualquier funcionalidad de subida de archivos
para el usuario.
o Al igual que con los datos, el sistema no debe confiar
nunca en estos archivos.
77. Lógica de Negocio - Verificación
Carga de archivos no esperados y/o maliciosos
o ¿Qué puede ocurrir?
oUn archivo no esperado y trancar la ejecución.
oUn archivo para explotar luego con otra vulnerabilidad
(página web, javascript, .exe)
oUn archivo que al ser parseado/ejecutado realiza acciones
indebidas.
78. Lógica de Negocio - Verificación
Ej.: Carga de archivos no esperados y/o maliciosos
79. Lógica de Negocio - Verificación
Carga de archivos no esperados y/o maliciosos
o ¿Como probar?
o Ubicar las funcionalidades en las que un usuario puede
realizar la subida de un archivo.
o Diferentes tipos de archivos, archivos maliciosos, múltiples
archivos
80. Lógica de Negocio - Verificación
Carga de archivos no esperados y/o maliciosos
o ¿Como probar?
o Mantener una lista de archivos aceptables y comparar
siempre contra ella.
o Realizar la subida de archivos indebidos.
o Verificar que los mecanismos de validación prevengan la
carga.
81. Lógica de Negocio - Verificación
DEMO 11 - Carga de archivos no esperados
y/o maliciosos
Actualizar la imagen de perfil con un archivo
malicioso.
83. Control de Acceso
o Es el control selectivo y restrictivo a un recurso.
o La aplicación funciona correctamente.
o Probar quién lo puede hacer.
84. Control de Acceso
o Ausencia de control de acceso a funciones.
o Exposición de datos sensibles.
o Referencia directa insegura a objetos.
85. Control de Acceso
Ausencia de control de acceso a funciones.
o ¿Qué es?
o Un usuario obtiene acceso a funciones privilegiadas que no
debería.
o Se realiza el control de acceso en la interfaz de usuario,
pero no, en la ejecución la acción.
86. Control de Acceso
Ausencia de control de acceso a funciones.
o ¿Como probar?
o La interfaz de usuario la controla el navegador.
o Se debe buscar:
oBotones deshabilitados.
oBotones ocultos.
oLinks ocultos.
87. Control de Acceso
DEMO 12 - Ausencia de control de acceso a
funciones.
Aprobarse un préstamo, habilitando un botón en la
GUI.
88. Control de Acceso
Exposición de datos sensibles.
o ¿Qué es?
o Cierta información puede ser considerada sensible.
oDatos personales, información financiera o laboral.
o Depende de la industria y las regulaciones
gubernamentales.
89. Control de Acceso
Exposición de datos sensibles.
o ¿Como probar?
o Almacenamiento: Logs, archivos intermedios.
o Interfaz: información sensible puede ser enviada al
navegador y estar oculta: Hidden, display = None, etc.
o Cachés intermedios y del navegador:
o chrome://cache o about:cache
90. Control de Acceso
Exposición de datos sensibles.
o ¿Como probar?
o Cachés intermedios y del navegador:
ochrome://cache
oabout:cache
91. Control de Acceso
DEMO 13 - Exposición de datos sensibles.
o Inspeccionar las transferencias y visualizar el
saldo de una cuenta ajena.
92. Control de Acceso
Referencia directa insegura a objetos.
o ¿Qué es?
o Exposición de una referencia a un objeto de
implementación interno sin verificar control de acceso
oArchivo, Carpeta, Base de Datos
o Un atacante pueden manipular estas referencias para
acceder a datos no autorizados
93. Control de Acceso
DEMO 14 - Referencia directa insegura a
objetos.
Ingresar a un estado de cuenta cambiando los
parámetros en la URL
95. Despliegue
Configuración de seguridad incorrecta:
o Configurar correctamente los Usuarios, roles y permisos
que el sistema tendrá en Producción.
o Revisar y depurar:
oObjetos y roles creados en test.
oObjetos no utilizados u obsoletos (Developer Menu, Objetos
viejos, etc.
o Optar por un tráfico HTTPS y URL cifradas
96. Despliegue
DEMO 15 - Configuración de seguridad
incorrecta
Acceder a objetos de desarrollo/test que no se
depuraron en producción.
97. Referencias:
oOWASP - Testing guide 4.0
https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
oOWASP - Testing for business logic
https://www.owasp.org/index.php/Testing_for_business_logic
oOWASP - Authentication Cheat Sheet Español
https://www.owasp.org/index.php/Authentication_Cheat_Sheet_Español
oOWASP - TOP 10
https://www.owasp.org/index.php/Top_10_2013-Top_10
oSymantec - Internet Security Threat Report
https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf