SlideShare una empresa de Scribd logo

Lacrest 2012

Descargar como PPTX, PDF
V
v3l3r0f0nt3
Tecnología
1 de 13
An Overview of Testing Applications and Web Service Security: Free Options Luis Eduardo Melendez Campis C|EH, ACE, BCF, BIS, BNS LACREST 2012 Medellin, Colombia.
OBJETIVOS DEL ARTICULO • Entender la importancia del testing de seguridad formal dentro del proceso de desarrollo de software. • Conocer metodologías y herramientas de fácil acceso para llevar a cabo este tipo de testing de manera formal.
APLICACIONES Y SERVICIOS WEB: Nuevos Factores de Inseguridad CENZIC Web Application Security Trends Report CENZIC Web Application Security Trends Report Q3-Q4, 2008 Q3-Q4, 2008 Resultados Globales de Webapp Security Investigation 2008 desarrollado por Garnet Inc.
TESTING DE SEGURIDAD: Tipos Testing de Seguridad Análisis Estático Whitebox o Blackbox Testing de Código Glassbox Testing El proceso de evaluar un software sin El tester solo tendrá acceso a la aplicación o El tester posee acceso al código fuente de la ejecutarlo. Solo se tiene acceso al código al servicio web funcional sin ningún tipo de aplicación, manuales de usuario, credenciales fuente. privilegios de usuario. validas del sistema, configuración del servidor Web y acceso a la aplicación en si misma.
TESTING DE SEGURIDAD: Metodologías Blackbox
TESTING DE SEGURIDAD: OWASP Testing Methodology Open Source Basada en BlackBox Testing Enfocada 100% en la visión del atacante Creada para obtener resultados concretos de forma agil. Posee dos fases  Fase en Modo Pasivo (Recolección de información)  Fase en Modo Activo (Ataques – 9 categorías y 66 pruebas o controles) Aplica tanto para aplicaciones como para servicios web Proceso de actualización y mejoramiento continuo. Herramientas para la automatización del testing de seguridad comerciales (ej. Acunetix y Rational AppScan) y libres (W3AF) están creando perfiles de testing basados en esta metodología. Se recomienda su aplicación en fase Alpha o Beta de la aplicación o del servicio web.
TESTING DE SEGURIDAD: OWASP Top Ten Project
TESTING DE SEGURIDAD: Herramientas Libres para su Automatización
Herramientas: W3AF vs. Arachni
CONCLUSIONES  El fenómeno masificado de la inseguridad informática nos obliga a garantizar la seguridad de las aplicaciones que salen a un entorno productivo hostil. Esto justifica la implementación formal de metodologias de testing de seguridad.  Desde el punto de vista de la seguridad es recomendable llevar a cabo testing de tipo Blackbox para la identificación de fallas o vulnerabilidades en aplicaciones web, tanto por tiempos de realización como por los resultados ofrecidos.  El trabajo en el desarrollo de metodologías para el testing de seguridad en aplicaciones web va en aumento, aunque a la fecha evidencie pocos resultados estos son de gran impacto en el oficio.  La metodología propuesta por OWASP para el testing de aplicaciones web es una de las mejores opciones para llevar a cabo esta tarea, podría considerarse como la más completa y mejor documentada, aunque no existan herramientas que automaticen la totalidad de la pruebas que ella exige, por lo que debe mezclarse con testing manual.  El software libre ofrece excelentes opciones a nivel de herramientas para realizar testing de seguridad en aplicaciones web que llegan a ser tan competitivas como las comerciales  El uso de herramientas que automaticen el proceso de testing de seguridad no reemplaza del todo al testing manual, ya que como se comentó anteriormente, estas herramientas suelen generar falsos positivos por lo que estos resultados bene de ser comprobados a través de una verificación manual.  La formación de los programadores debe incluir sólidas bases en seguridad informática para evitar que estos comentan errores en el desarrollo o la configuración que desemboquen en vulnerabilidades críticas que pongan en riesgo la aplicación como las reportadas en el OWASP Top 10.
REFERENCIAS  [1] Garnet Inc.; “Webapp Security Investigation 2008”; Sitio web http://www.gartner.com; 2008  [2] RFC 2616; Sitio web http://www.w3.org/Protocols/rfc2616/rfc2616.html  [3] TIOBE; “TIOBE Programming Community Index for April 2012”; Sitio Web http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html; 2012  [4] John Deacon; “Model – View – Controller (MVC) Architecture”; 2009  [5] W3C; “Web Services Architecture”; Sitio Web http://www.w3.org/TR/ws-arch/; 2004  [6] W3C; “Web Services Description Language (WSDL) 1.1”; Sitio Web http://www.w3.org/TR/wsdl  [7] OASIS; “OASIS UDDI Specification TC”; Sitio Web http://www.oasis-open.org/committees/uddi-spec/, 2004  [8] W3C; “Simple Object Access Protocol (SOAP) 1.1”; Sitio Web http://www.w3.org/TR/2000/NOTE-SOAP-20000508/, 2000  [9] Richard Bejtlich, “The Tao of Network Security Monitoring”, 2004  [10] ISO; “ISO/IEC 13335:2004 - Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management”; 2004  [11] Sitio Web http://cert.inteco.es/Formacion/Amenazas/  [12] FIRST; “A Complete Guide to the Common Vulnerability Scoring System”; 2007  [13] OWASP; “OWASP Top 10 - The Ten Most Critical Web Applications Security Risks”;2010 []  [14] Sitio Web https://www.owasp.org/index.php/Proyecto_De_La_Diez_Mayores_Vulnerabilidades_de_OWASP  [15] Dupuis, Bourque, Abran, Moore y Tripp; “Improving Software Testing - Technical and Organizational Developments”, 2012  [16] R. Dupuis, P. Bourque, A. Abran, J. W. Moore, and L. L. Tripp. The SWEBOK Project: Guide to the software engineering body of knowledge, May 2001. Stone Man Trial Version 1.00, http://www.swebok.org/ [01/12/2003].  [17] Maximiliano Cristia; “Introduccion al Testing de Software”; 2009  [18] ISO/IEC JTC1/SC7 - Software and Systems Engineering; “ISO/IEC 29119 - Software Testing Standard”, Sitio Web http://www.softwaretestingstandard.org/;2012  [19] IEEE , "IEEE Standard for Software Test Documentation," IEEE Std 829-1983 , vol., no., pp.1-48, 1983 doi: 10.1109/IEEESTD.1983.81615  [20] IEEE , "IEEE Standard for Software Unit Testing," ANSI/IEEE Std 1008-1987 , vol., no., pp.0_1, 1986 doi: 10.1109/IEEESTD.1986.81001  [21] British Standards Institution ;BS 7925-1:1998; Software testing. Vocabulary; 1998  [22] British Standards Institution ; BS 7925-2:1998 Software testing. Software component testing; 1998  [23] Andres Riancho y Martin Tartarelly; Coferencia: Testing de Seguridad en Aplicaciones Web – Una Introduccion; Capítulo Argentino de la IEEE Computer Society; 2009 •
REFERENCIAS  [24] Hope, P.,Walther, B.:Web Security Testing Cookbook: Systematic Techniques to Find Problems  Fast. O’Reilly, Beijing (2008)  [25] Andrews, M.,Whittaker, J.A.: How to BreakWeb Software: Functional and Security Testing of Web Applications and Web Services. Addison-Wesley, Boston (2006)  [26]Wysopal, C., Nelson, L., Zovi, D.D., Dustin, E.: The Art of Software Security Testing: Identifying  Software Security Flaws. Addison-Wesley, Boston (2006)  [27] John B. Dickson; Black Box versus White Box: Different App Testing Strategies; 2008  [28] ISECOM - Institute for Security and Open Methodologies; Sitio Web www.isecom.org  [29] ISECOM; OSSTMM Web App Alpha; Sitio Web https://www.isecom.org/goldteam/OSSTMM_Web_App_Alpha.pdf  [30] OWASP Foundations; Sitio Web https://www.owasp.org/index.php/OWASP_Foundation  [31] Proyecto OWASP; Sitio Web www.owasp.org  [32] OWASP; OWASP Testing Guide v3; 2008  [33] Matteo Meucci , Giorgio Fedon , Pavol Luptak; Planning the OWASP Testing Guide v4; 2011  [34] Acunetix Web Security Scanner; Sitio Web http://www.acunetix.com/  [35] IBM Rational AppScan; Sitio Web http://www-01.ibm.com/software/awdtools/appscan/  [36] HP Web Inspect; Sitio Web https://www.fortify.com/products/web_inspect.html  [37] Proyecto W3AF; Sitio Web http://w3af.sourceforge.net/  [38] Proyecto Arachni; Sitio Web http://arachni-scanner.com/  [39] Proyecto Grendel – Scan; Sitio Web http://grendel-scan.com/  [40] w3af user's guide; Sitio Web http://w3af.svn.sourceforge.net/viewvc/w3af/trunk/readme/EN/w3af-users-guide.pdf  [41] Mariano Nuñez Di Croce; Coferencia: Hacking Ético y Frameworks Opensource; 2009  [42] Andres Riancho; OWASP Poland; Conferencia: A framework to 0wn the Web; 2009  [43] José Ramón Palanco; OWASP Spain Conferencia: W3AF: Un framework de test de intrusión web; 2008-2009  [44] A. Wiegenstein, F. Weidemann, M. Schumacher,  S. Schinzel, Web application vulnerability scanners: A benchmark, 2006.  [45] E. Fong, V. Okun . Web application scanner: Definitions and functions, Information Technology Lab., National Inst. Standards and Technology, 2007  [46] Brad Arkin, Scott Stender, Gary Mcgraw. Software penetration testing, 2005
GRACIAS POR SU ATENCION!!!! Datos de Contacto Email: melendezcampis@gmail.com lmelendez@tecnologicocomfenalco.edu.co Twitter: @v3l3r0f0nt3

Recomendados

Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
PRUEBA DE APLICACIONES WEB
PRUEBA DE APLICACIONES WEB PRUEBA DE APLICACIONES WEB
PRUEBA DE APLICACIONES WEB YULIANA JIMENEZ
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 

Recomendados

Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
PRUEBA DE APLICACIONES WEB
PRUEBA DE APLICACIONES WEB PRUEBA DE APLICACIONES WEB
PRUEBA DE APLICACIONES WEB YULIANA JIMENEZ
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
Testing en aplicaciones móviles iOS, Android
Testing en aplicaciones móviles iOS, AndroidTesting en aplicaciones móviles iOS, Android
Testing en aplicaciones móviles iOS, AndroidSlashMobility.com
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroJavier Antunez / CISSP / LA27001 / IA9001
 
Testing automatizado de aplicaciones web
Testing automatizado de aplicaciones webTesting automatizado de aplicaciones web
Testing automatizado de aplicaciones webAnibal Guzmán Miranda
 
8.realizacion de pruebas
8.realizacion de pruebas8.realizacion de pruebas
8.realizacion de pruebasJose Benítez Andrades
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
tipos de pruebas.
tipos de pruebas.tipos de pruebas.
tipos de pruebas.Juan Ravi
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas.. ..
 
Proyecto de una aplicacion java swing para un agente bcp
Proyecto de una aplicacion java swing para un agente bcpProyecto de una aplicacion java swing para un agente bcp
Proyecto de una aplicacion java swing para un agente bcpComputo Pedro P Diaz
 
Error, validación y verificación en ps
Error, validación y verificación en psError, validación y verificación en ps
Error, validación y verificación en psPablo Bonilla
 
Pruebas software (1)
Pruebas software (1)Pruebas software (1)
Pruebas software (1)René Pari
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Prueba, caso de prueba, defecto, falla, error, verificación, validación
Prueba, caso de prueba, defecto, falla, error, verificación, validaciónPrueba, caso de prueba, defecto, falla, error, verificación, validación
Prueba, caso de prueba, defecto, falla, error, verificación, validaciónCristi Coba
 
Unidad 1 verificacion y-validacion
Unidad 1 verificacion y-validacionUnidad 1 verificacion y-validacion
Unidad 1 verificacion y-validacionJorge Daza Gómez
 
Calidad del software cap1
Calidad del software cap1Calidad del software cap1
Calidad del software cap1Julio C. Alsina A.
 
Tipos De Pruebas
Tipos De PruebasTipos De Pruebas
Tipos De PruebasNeila1975
 
Herramientas de testing apps android
Herramientas de testing apps androidHerramientas de testing apps android
Herramientas de testing apps androidSlashMobility.com
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwarepanavarrv
 
Calidad y validacion
Calidad y validacionCalidad y validacion
Calidad y validacionCalzada Meza
 
Verificación y Validación del Diseño
Verificación y Validación del DiseñoVerificación y Validación del Diseño
Verificación y Validación del DiseñoJuan Pablo Bustos Thames
 
Sesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxSesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxClaudioIbarraRios
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareUniversidad Militar Nueva Granada-Universidad de Cundinamarca
 

Más contenido relacionado

La actualidad más candente

Testing en aplicaciones móviles iOS, Android
Testing en aplicaciones móviles iOS, AndroidTesting en aplicaciones móviles iOS, Android
Testing en aplicaciones móviles iOS, AndroidSlashMobility.com
 
Testing automatizado de aplicaciones web
Testing automatizado de aplicaciones webTesting automatizado de aplicaciones web
Testing automatizado de aplicaciones webAnibal Guzmán Miranda
 
tipos de pruebas.
tipos de pruebas.tipos de pruebas.
tipos de pruebas.Juan Ravi
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas.. ..
 
Proyecto de una aplicacion java swing para un agente bcp
Proyecto de una aplicacion java swing para un agente bcpProyecto de una aplicacion java swing para un agente bcp
Proyecto de una aplicacion java swing para un agente bcpComputo Pedro P Diaz
 
Error, validación y verificación en ps
Error, validación y verificación en psError, validación y verificación en ps
Error, validación y verificación en psPablo Bonilla
 
Pruebas software (1)
Pruebas software (1)Pruebas software (1)
Pruebas software (1)René Pari
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Prueba, caso de prueba, defecto, falla, error, verificación, validación
Prueba, caso de prueba, defecto, falla, error, verificación, validaciónPrueba, caso de prueba, defecto, falla, error, verificación, validación
Prueba, caso de prueba, defecto, falla, error, verificación, validaciónCristi Coba
 
Unidad 1 verificacion y-validacion
Unidad 1 verificacion y-validacionUnidad 1 verificacion y-validacion
Unidad 1 verificacion y-validacionJorge Daza Gómez
 
Tipos De Pruebas
Tipos De PruebasTipos De Pruebas
Tipos De PruebasNeila1975
 
Herramientas de testing apps android
Herramientas de testing apps androidHerramientas de testing apps android
Herramientas de testing apps androidSlashMobility.com
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwarepanavarrv
 
Calidad y validacion
Calidad y validacionCalidad y validacion
Calidad y validacionCalzada Meza
 

La actualidad más candente (20)

Testing en aplicaciones móviles iOS, Android
Testing en aplicaciones móviles iOS, AndroidTesting en aplicaciones móviles iOS, Android
Testing en aplicaciones móviles iOS, Android
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
 
Testing automatizado de aplicaciones web
Testing automatizado de aplicaciones webTesting automatizado de aplicaciones web
Testing automatizado de aplicaciones web
 
8.realizacion de pruebas
8.realizacion de pruebas8.realizacion de pruebas
8.realizacion de pruebas
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
tipos de pruebas.
tipos de pruebas.tipos de pruebas.
tipos de pruebas.
 
Desarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por PruebasDesarrollo de Software Guiado por Pruebas
Desarrollo de Software Guiado por Pruebas
 
Proyecto de una aplicacion java swing para un agente bcp
Proyecto de una aplicacion java swing para un agente bcpProyecto de una aplicacion java swing para un agente bcp
Proyecto de una aplicacion java swing para un agente bcp
 
Error, validación y verificación en ps
Error, validación y verificación en psError, validación y verificación en ps
Error, validación y verificación en ps
 
Pruebas software (1)
Pruebas software (1)Pruebas software (1)
Pruebas software (1)
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMM
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Prueba, caso de prueba, defecto, falla, error, verificación, validación
Prueba, caso de prueba, defecto, falla, error, verificación, validaciónPrueba, caso de prueba, defecto, falla, error, verificación, validación
Prueba, caso de prueba, defecto, falla, error, verificación, validación
 
Unidad 1 verificacion y-validacion
Unidad 1 verificacion y-validacionUnidad 1 verificacion y-validacion
Unidad 1 verificacion y-validacion
 
Calidad del software cap1
Calidad del software cap1Calidad del software cap1
Calidad del software cap1
 
Tipos De Pruebas
Tipos De PruebasTipos De Pruebas
Tipos De Pruebas
 
Herramientas de testing apps android
Herramientas de testing apps androidHerramientas de testing apps android
Herramientas de testing apps android
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de software
 
Calidad y validacion
Calidad y validacionCalidad y validacion
Calidad y validacion
 
Verificación y Validación del Diseño
Verificación y Validación del DiseñoVerificación y Validación del Diseño
Verificación y Validación del Diseño
 

Similar a Lacrest 2012

Sesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxSesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxClaudioIbarraRios
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de softwareCentro Líbano
 
Instructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdfInstructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdfe1725612426
 
366822968 paso-5-examen-final
366822968 paso-5-examen-final366822968 paso-5-examen-final
366822968 paso-5-examen-finaldanny rios
 
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Priscill Orue Esquivel
 
pruebas de calidad.pdf
pruebas de calidad.pdfpruebas de calidad.pdf
pruebas de calidad.pdfChirmi1
 
Testing, metodologìas, standards y reflexiones (Español)
Testing, metodologìas, standards y reflexiones (Español)Testing, metodologìas, standards y reflexiones (Español)
Testing, metodologìas, standards y reflexiones (Español)Giselle Llamas
 
Capitulo 17 estrategias_de_prueba_de_software
Capitulo 17 estrategias_de_prueba_de_softwareCapitulo 17 estrategias_de_prueba_de_software
Capitulo 17 estrategias_de_prueba_de_softwareAndres Valencia
 
Curso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfCurso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfBarcodeBarcode
 
Desarrollo de softwareweb romero
Desarrollo de softwareweb romeroDesarrollo de softwareweb romero
Desarrollo de softwareweb romeroAlexa Romero
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwareTensor
 
Grupo14_Actividad11
Grupo14_Actividad11Grupo14_Actividad11
Grupo14_Actividad11Jesus Matos
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Heuristic evaluations.
Heuristic evaluations.Heuristic evaluations.
Heuristic evaluations.lorena_moreno
 
Heuristic evaluations.
Heuristic evaluations.Heuristic evaluations.
Heuristic evaluations.lorena_moreno
 

Similar a Lacrest 2012 (20)

Sesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptxSesión Nº 13 - CALIDAD DE SW.pptx
Sesión Nº 13 - CALIDAD DE SW.pptx
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de software
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de software
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Instructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdfInstructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdf
 
366822968 paso-5-examen-final
366822968 paso-5-examen-final366822968 paso-5-examen-final
366822968 paso-5-examen-final
 
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
 
pruebas de calidad.pdf
pruebas de calidad.pdfpruebas de calidad.pdf
pruebas de calidad.pdf
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASP
 
Testing, metodologìas, standards y reflexiones (Español)
Testing, metodologìas, standards y reflexiones (Español)Testing, metodologìas, standards y reflexiones (Español)
Testing, metodologìas, standards y reflexiones (Español)
 
OWASP
OWASPOWASP
OWASP
 
Capitulo 17 estrategias_de_prueba_de_software
Capitulo 17 estrategias_de_prueba_de_softwareCapitulo 17 estrategias_de_prueba_de_software
Capitulo 17 estrategias_de_prueba_de_software
 
Curso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfCurso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdf
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Desarrollo de softwareweb romero
Desarrollo de softwareweb romeroDesarrollo de softwareweb romero
Desarrollo de softwareweb romero
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de software
 
Grupo14_Actividad11
Grupo14_Actividad11Grupo14_Actividad11
Grupo14_Actividad11
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Heuristic evaluations.
Heuristic evaluations.Heuristic evaluations.
Heuristic evaluations.
 
Heuristic evaluations.
Heuristic evaluations.Heuristic evaluations.
Heuristic evaluations.
 

Último

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 

Último (20)

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 

Lacrest 2012

  • 1. An Overview of Testing Applications and Web Service Security: Free Options Luis Eduardo Melendez Campis C|EH, ACE, BCF, BIS, BNS LACREST 2012 Medellin, Colombia.
  • 2. OBJETIVOS DEL ARTICULO • Entender la importancia del testing de seguridad formal dentro del proceso de desarrollo de software. • Conocer metodologías y herramientas de fácil acceso para llevar a cabo este tipo de testing de manera formal.
  • 3. APLICACIONES Y SERVICIOS WEB: Nuevos Factores de Inseguridad CENZIC Web Application Security Trends Report CENZIC Web Application Security Trends Report Q3-Q4, 2008 Q3-Q4, 2008 Resultados Globales de Webapp Security Investigation 2008 desarrollado por Garnet Inc.
  • 4. TESTING DE SEGURIDAD: Tipos Testing de Seguridad Análisis Estático Whitebox o Blackbox Testing de Código Glassbox Testing El proceso de evaluar un software sin El tester solo tendrá acceso a la aplicación o El tester posee acceso al código fuente de la ejecutarlo. Solo se tiene acceso al código al servicio web funcional sin ningún tipo de aplicación, manuales de usuario, credenciales fuente. privilegios de usuario. validas del sistema, configuración del servidor Web y acceso a la aplicación en si misma.
  • 5. TESTING DE SEGURIDAD: Metodologías Blackbox
  • 6. TESTING DE SEGURIDAD: OWASP Testing Methodology Open Source Basada en BlackBox Testing Enfocada 100% en la visión del atacante Creada para obtener resultados concretos de forma agil. Posee dos fases  Fase en Modo Pasivo (Recolección de información)  Fase en Modo Activo (Ataques – 9 categorías y 66 pruebas o controles) Aplica tanto para aplicaciones como para servicios web Proceso de actualización y mejoramiento continuo. Herramientas para la automatización del testing de seguridad comerciales (ej. Acunetix y Rational AppScan) y libres (W3AF) están creando perfiles de testing basados en esta metodología. Se recomienda su aplicación en fase Alpha o Beta de la aplicación o del servicio web.
  • 7. TESTING DE SEGURIDAD: OWASP Top Ten Project
  • 8. TESTING DE SEGURIDAD: Herramientas Libres para su Automatización
  • 10. CONCLUSIONES  El fenómeno masificado de la inseguridad informática nos obliga a garantizar la seguridad de las aplicaciones que salen a un entorno productivo hostil. Esto justifica la implementación formal de metodologias de testing de seguridad.  Desde el punto de vista de la seguridad es recomendable llevar a cabo testing de tipo Blackbox para la identificación de fallas o vulnerabilidades en aplicaciones web, tanto por tiempos de realización como por los resultados ofrecidos.  El trabajo en el desarrollo de metodologías para el testing de seguridad en aplicaciones web va en aumento, aunque a la fecha evidencie pocos resultados estos son de gran impacto en el oficio.  La metodología propuesta por OWASP para el testing de aplicaciones web es una de las mejores opciones para llevar a cabo esta tarea, podría considerarse como la más completa y mejor documentada, aunque no existan herramientas que automaticen la totalidad de la pruebas que ella exige, por lo que debe mezclarse con testing manual.  El software libre ofrece excelentes opciones a nivel de herramientas para realizar testing de seguridad en aplicaciones web que llegan a ser tan competitivas como las comerciales  El uso de herramientas que automaticen el proceso de testing de seguridad no reemplaza del todo al testing manual, ya que como se comentó anteriormente, estas herramientas suelen generar falsos positivos por lo que estos resultados bene de ser comprobados a través de una verificación manual.  La formación de los programadores debe incluir sólidas bases en seguridad informática para evitar que estos comentan errores en el desarrollo o la configuración que desemboquen en vulnerabilidades críticas que pongan en riesgo la aplicación como las reportadas en el OWASP Top 10.
  • 11. REFERENCIAS  [1] Garnet Inc.; “Webapp Security Investigation 2008”; Sitio web http://www.gartner.com; 2008  [2] RFC 2616; Sitio web http://www.w3.org/Protocols/rfc2616/rfc2616.html  [3] TIOBE; “TIOBE Programming Community Index for April 2012”; Sitio Web http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html; 2012  [4] John Deacon; “Model – View – Controller (MVC) Architecture”; 2009  [5] W3C; “Web Services Architecture”; Sitio Web http://www.w3.org/TR/ws-arch/; 2004  [6] W3C; “Web Services Description Language (WSDL) 1.1”; Sitio Web http://www.w3.org/TR/wsdl  [7] OASIS; “OASIS UDDI Specification TC”; Sitio Web http://www.oasis-open.org/committees/uddi-spec/, 2004  [8] W3C; “Simple Object Access Protocol (SOAP) 1.1”; Sitio Web http://www.w3.org/TR/2000/NOTE-SOAP-20000508/, 2000  [9] Richard Bejtlich, “The Tao of Network Security Monitoring”, 2004  [10] ISO; “ISO/IEC 13335:2004 - Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management”; 2004  [11] Sitio Web http://cert.inteco.es/Formacion/Amenazas/  [12] FIRST; “A Complete Guide to the Common Vulnerability Scoring System”; 2007  [13] OWASP; “OWASP Top 10 - The Ten Most Critical Web Applications Security Risks”;2010 []  [14] Sitio Web https://www.owasp.org/index.php/Proyecto_De_La_Diez_Mayores_Vulnerabilidades_de_OWASP  [15] Dupuis, Bourque, Abran, Moore y Tripp; “Improving Software Testing - Technical and Organizational Developments”, 2012  [16] R. Dupuis, P. Bourque, A. Abran, J. W. Moore, and L. L. Tripp. The SWEBOK Project: Guide to the software engineering body of knowledge, May 2001. Stone Man Trial Version 1.00, http://www.swebok.org/ [01/12/2003].  [17] Maximiliano Cristia; “Introduccion al Testing de Software”; 2009  [18] ISO/IEC JTC1/SC7 - Software and Systems Engineering; “ISO/IEC 29119 - Software Testing Standard”, Sitio Web http://www.softwaretestingstandard.org/;2012  [19] IEEE , "IEEE Standard for Software Test Documentation," IEEE Std 829-1983 , vol., no., pp.1-48, 1983 doi: 10.1109/IEEESTD.1983.81615  [20] IEEE , "IEEE Standard for Software Unit Testing," ANSI/IEEE Std 1008-1987 , vol., no., pp.0_1, 1986 doi: 10.1109/IEEESTD.1986.81001  [21] British Standards Institution ;BS 7925-1:1998; Software testing. Vocabulary; 1998  [22] British Standards Institution ; BS 7925-2:1998 Software testing. Software component testing; 1998  [23] Andres Riancho y Martin Tartarelly; Coferencia: Testing de Seguridad en Aplicaciones Web – Una Introduccion; Capítulo Argentino de la IEEE Computer Society; 2009 •
  • 12. REFERENCIAS  [24] Hope, P.,Walther, B.:Web Security Testing Cookbook: Systematic Techniques to Find Problems  Fast. O’Reilly, Beijing (2008)  [25] Andrews, M.,Whittaker, J.A.: How to BreakWeb Software: Functional and Security Testing of Web Applications and Web Services. Addison-Wesley, Boston (2006)  [26]Wysopal, C., Nelson, L., Zovi, D.D., Dustin, E.: The Art of Software Security Testing: Identifying  Software Security Flaws. Addison-Wesley, Boston (2006)  [27] John B. Dickson; Black Box versus White Box: Different App Testing Strategies; 2008  [28] ISECOM - Institute for Security and Open Methodologies; Sitio Web www.isecom.org  [29] ISECOM; OSSTMM Web App Alpha; Sitio Web https://www.isecom.org/goldteam/OSSTMM_Web_App_Alpha.pdf  [30] OWASP Foundations; Sitio Web https://www.owasp.org/index.php/OWASP_Foundation  [31] Proyecto OWASP; Sitio Web www.owasp.org  [32] OWASP; OWASP Testing Guide v3; 2008  [33] Matteo Meucci , Giorgio Fedon , Pavol Luptak; Planning the OWASP Testing Guide v4; 2011  [34] Acunetix Web Security Scanner; Sitio Web http://www.acunetix.com/  [35] IBM Rational AppScan; Sitio Web http://www-01.ibm.com/software/awdtools/appscan/  [36] HP Web Inspect; Sitio Web https://www.fortify.com/products/web_inspect.html  [37] Proyecto W3AF; Sitio Web http://w3af.sourceforge.net/  [38] Proyecto Arachni; Sitio Web http://arachni-scanner.com/  [39] Proyecto Grendel – Scan; Sitio Web http://grendel-scan.com/  [40] w3af user's guide; Sitio Web http://w3af.svn.sourceforge.net/viewvc/w3af/trunk/readme/EN/w3af-users-guide.pdf  [41] Mariano Nuñez Di Croce; Coferencia: Hacking Ético y Frameworks Opensource; 2009  [42] Andres Riancho; OWASP Poland; Conferencia: A framework to 0wn the Web; 2009  [43] José Ramón Palanco; OWASP Spain Conferencia: W3AF: Un framework de test de intrusión web; 2008-2009  [44] A. Wiegenstein, F. Weidemann, M. Schumacher,  S. Schinzel, Web application vulnerability scanners: A benchmark, 2006.  [45] E. Fong, V. Okun . Web application scanner: Definitions and functions, Information Technology Lab., National Inst. Standards and Technology, 2007  [46] Brad Arkin, Scott Stender, Gary Mcgraw. Software penetration testing, 2005
  • 13. GRACIAS POR SU ATENCION!!!! Datos de Contacto Email: melendezcampis@gmail.com lmelendez@tecnologicocomfenalco.edu.co Twitter: @v3l3r0f0nt3