SlideShare una empresa de Scribd logo
1 de 35
Descargar para leer sin conexión
Hacking web con OWASP
Ezequiel V´azquez De la calle
Ezequiel V´azquez De la calle Hacking web con OWASP
Sobre mi
Estudios
Ingeniero T´ecnico en Inform´atica - UCA
M´aster en Ingenier´ıa del Software - US
Experto en Seguridad de las TIC - US
Experiencia
3+ a˜nos como desarrollador web
Actualmente: DevOps Drupal
Python, C++, GNU/Linux, network programming. . .
Aficiones
Rock’n’Roll (guitarrista) y videojuegos
Narrativa fant´astica, rol, cine. . .
Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
Seguridad
¿Y esto de qu´e va?
Seguridad web
Exposici´on a internet
Vulnerabilidades
Explotaci´on
¿Hackers?
. . .
Dinero
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP
Open Web Application Security Project
Fundaci´on sin ´animo de lucro
Multitud de proyectos: algo ca´otico
Colaboraci´on a nivel mundial, grupos locales
Metodolog´ıa de an´alisis de seguridad web
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP
M´as de 36000 colaboradores
Conferencias por todo el mundo, durante todo el a˜no
En Espa˜na: Asociaci´on de profesionales
Libros, merchandising, etc.
Ezequiel V´azquez De la calle Hacking web con OWASP
Proyectos de OWASP
https://www.owasp.org/index.php/Category:OWASP Project
Ezequiel V´azquez De la calle Hacking web con OWASP
Proyectos de OWASP
142 proyectos, a lo largo del mundo
OWASP Code Review
OWASP DNIe
OWASP Google Hacking
OWASP SQLiBench
OWASP Testing guide [!]
OWASP Top Ten
OWASP WebScarab
OWASP WebSlayer
OWASP Zed Attack Proxy
. . .
Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide
Consideraciones previas
Enfoque de caja negra,
pero incluye pruebas de
todo tipo
Divide las pruebas en fases
asociadas al ciclo de vida
¡No s´olo pentesting!
Disponible como libro,
PDF y wiki
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide
Etapas
1 Antes del desarrollo
Revisar pol´ıticas, est´andares, etc.
Definir m´etricas y criterios de evaluaci´on
2 Durante la definici´on y el dise˜no
Revisar requisitos de seguridad
Revisar dise˜no y arquitectura
Crear y revisar modelos de amenazas
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide
Etapas
3 Durante el desarrollo
Revisar el c´odigo junto con los desarrolladores
4 Durante el despliegue
Realizar test de penetraci´on [!]
Analizar la gesti´on de la configuraci´on
5 Durante el mantenimiento
Revisar la gesti´on de operaciones
Pruebas peri´odicas del estado de salud
Asegurar la verificaci´on de cambios
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
Adquisici´on de informaci´on
An´alisis de fuentes p´ublicas sobre el sitio web
An´alisis de la ayuda del propio sitio
Uso de spiders, robots y crawlers (puntos de entrada)
An´alisis de metadatos de los ficheros descargables
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
Google (Bing y Shodan) Hacking
Utilizaci´on de operadores avanzados del buscador.
site: Limitar la b´usqueda a un ´unico dominio
cache: Buscar en la cach´e de Google
inurl: Resultados que contienen un valor en la URL
ext:, filetype: Buscar ficheros con la extensi´on indicada
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
Revisi´on de la configuraci´on
Uso de SSL (Man In The Middle y SSLStrip a un cliente)
Conexi´on a BBDD (Conexiones remotas)
Sistema operativo del servidor
Configuraci´on del servidor web (Versi´on vulnerable)
M´etodos HTTP permitidos por el servidor (PUT, DELETE)
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
An´alisis de autenticaci´on
Enumeraci´on de usuarios (M´odulo Views de Drupal)
Ataque de fuerza bruta o diccionario
Bypass del sistema de autenticaci´on (SQLi)
Contrase˜nas suprayectivas
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
An´alisis de la gesti´on de la sesi´on
Exposici´on de variables de sesi´on
Cookies no cifradas (modificaci´on de atributos)
Cross Site Request Forgery
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
An´alisis de autorizaci´on y l´ogica de negocio
Acceso a ficheros
Escalado de privilegios
Fallos en la l´ogica de la aplicaci´on
An´alisis de mensajes de error
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
Validaci´on de datos de entrada y salida
Cross Site Scripting (XSS)
Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.)
Buffer overflow
Fuzzing (entrada aleatoria, y/o excesivamente grande)
Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP
Denegaci´on de servicio
No liberaci´on de recursos
Almacenamiento de demasiada informaci´on en la sesi´on
Bloqueo de usuarios
Entrada de usuario en un bucle
Gesti´on de peticiones repetitivas (LOIC)
Ezequiel V´azquez De la calle Hacking web con OWASP
¿Y c´omo protejo mi web?
Buenas pr´acticas
Auditor´ıas de seguridad
peri´odicas
Integrar la seguridad en el
desarrollo desde el inicio
Asumir que siempre
habr´a fallos de seguridad
Si alguien va a por
ti. . . (APT)
Encontrar el equilibrio
Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Top Ten
Lista de vulnerabilidades
m´as comunes
Publicada cada tres a˜nos
Cuarta versi´on en 2013
”Meter el miedo en el
cuerpo”
´Util como referencia r´apida
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP ZAP
Proxy que intercepta peticiones y respuestas
Permite modificar el contenido de ambas
Detecta posibles superficies de ataque
Ezequiel V´azquez De la calle Hacking web con OWASP
Nikto2
Esc´aner de vulnerabilidades
web
C´odigo abierto (GPL)
Comprueba versiones
desactualizadas, m´etodos
HTTP, etc.
No est´a dise˜nado como
herramienta stealth
http://www.cirt.net/nikto2
Ezequiel V´azquez De la calle Hacking web con OWASP
SQLMap
Automatiza la detecci´on y
explotaci´on de vulnerabilidades
SQLinjection
C´odigo abierto (GPL)
Soporta muchos motores
(MySQL, Oracle, PostgreSQL,
MS SQL Server... ¡hasta Access!)
http://sqlmap.org/
Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Xenotix
Framework de detecci´on y explotaci´on de XSS
Analiza IE, Chrome y Firefox
Herramienta muy potente
Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
Conclusiones
Realizar testing durante todo el ciclo de vida
¡El pentesting no es un juego! Permiso por escrito
¡Importante! Documentaci´on con resultados obtenidos
Un buen an´alisis debe intentar cubrir el m´aximo de la
superficie de ataque
Ahorro o p´erdida de dinero, reputaci´on, etc.
La importancia de la formaci´on
Ezequiel V´azquez De la calle Hacking web con OWASP
Conclusiones
Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice
1 Introducci´on
2 OWASP Testing Guide
3 Miscel´anea
4 Conclusiones
5 Referencias
Ezequiel V´azquez De la calle Hacking web con OWASP
Referencias
OWASP official webpage
https://www.owasp.org
Browser security handbook
https://code.google.com/p/browsersec/wiki/Main
Top ten web hacking techniques (2012)
https://www.whitehatsec.com/resource/grossmanarchives/
12grossmanarchives/120612toptenwebhack.html
Burp Suite
http://portswigger.net/burp
Ezequiel V´azquez De la calle Hacking web con OWASP
Esto es todo, amigos...
¡Gracias!
¿Preguntas?
@RabbitLair
ezequielvazq[at]gmail[dot]com
Ezequiel V´azquez De la calle Hacking web con OWASP

Más contenido relacionado

La actualidad más candente

Owasp top 10 2010 final (spanish)
Owasp top 10   2010 final (spanish)Owasp top 10   2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 

La actualidad más candente (20)

Owasp top 10 2010 final (spanish)
Owasp top 10   2010 final (spanish)Owasp top 10   2010 final (spanish)
Owasp top 10 2010 final (spanish)
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Web
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones Web
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Ada #6
Ada #6Ada #6
Ada #6
 

Destacado

III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressDaniel Garcia (a.k.a cr0hn)
 
Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Jaime Restrepo
 
Reto forense campus party 2011
Reto forense campus party 2011Reto forense campus party 2011
Reto forense campus party 2011Jaime Restrepo
 
OWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolOWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolInternet Security Auditors
 
Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011Jaime Restrepo
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pagomarcsegarralopez
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturasSamis Ambrocio
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013tmd800
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!Matt Tesauro
 
Matematica 10
Matematica 10Matematica 10
Matematica 10casa
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicaspeke dani
 
Matematica 9
Matematica 9Matematica 9
Matematica 9casa
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 

Destacado (15)

III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
 
Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011
 
Reto forense campus party 2011
Reto forense campus party 2011Reto forense campus party 2011
Reto forense campus party 2011
 
OWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolOWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo Español
 
Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
 
Samm owasp
Samm owaspSamm owasp
Samm owasp
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturas
 
Owasp Top10 FireFox
Owasp Top10 FireFoxOwasp Top10 FireFox
Owasp Top10 FireFox
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!
 
Matematica 10
Matematica 10Matematica 10
Matematica 10
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicas
 
Matematica 9
Matematica 9Matematica 9
Matematica 9
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 

Similar a Hacking web con OWASP

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupalzekivazquez
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 

Similar a Hacking web con OWASP (20)

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupal
 
Owasp 6 Seguridad en WordPress
Owasp 6  Seguridad en WordPressOwasp 6  Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVAS
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
 

Más de zekivazquez

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilitieszekivazquez
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadeszekivazquez
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMSzekivazquez
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beingszekivazquez
 
Information is Power
Information is PowerInformation is Power
Information is Powerzekivazquez
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harleyzekivazquez
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todoszekivazquez
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scalingzekivazquez
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scalingzekivazquez
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCAzekivazquez
 

Más de zekivazquez (10)

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMS
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
 
Information is Power
Information is PowerInformation is Power
Information is Power
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
 

Último

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel  (1) tecnologia.pdf trabajo Excel tallerExcel  (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6    CREAR UN RECURSO MULTIMEDIAActividad integradora 6    CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante  que sonEl uso de las tic en la vida ,lo importante  que son
El uso de las tic en la vida ,lo importante que son241514984
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 

Último (20)

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel  (1) tecnologia.pdf trabajo Excel tallerExcel  (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6    CREAR UN RECURSO MULTIMEDIAActividad integradora 6    CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante  que sonEl uso de las tic en la vida ,lo importante  que son
El uso de las tic en la vida ,lo importante que son
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 

Hacking web con OWASP

  • 1. Hacking web con OWASP Ezequiel V´azquez De la calle Ezequiel V´azquez De la calle Hacking web con OWASP
  • 2. Sobre mi Estudios Ingeniero T´ecnico en Inform´atica - UCA M´aster en Ingenier´ıa del Software - US Experto en Seguridad de las TIC - US Experiencia 3+ a˜nos como desarrollador web Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´astica, rol, cine. . . Ezequiel V´azquez De la calle Hacking web con OWASP
  • 3. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 4. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 5. Seguridad ¿Y esto de qu´e va? Seguridad web Exposici´on a internet Vulnerabilidades Explotaci´on ¿Hackers? . . . Dinero Ezequiel V´azquez De la calle Hacking web con OWASP
  • 6. OWASP Open Web Application Security Project Fundaci´on sin ´animo de lucro Multitud de proyectos: algo ca´otico Colaboraci´on a nivel mundial, grupos locales Metodolog´ıa de an´alisis de seguridad web Ezequiel V´azquez De la calle Hacking web con OWASP
  • 7. OWASP M´as de 36000 colaboradores Conferencias por todo el mundo, durante todo el a˜no En Espa˜na: Asociaci´on de profesionales Libros, merchandising, etc. Ezequiel V´azquez De la calle Hacking web con OWASP
  • 8. Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´azquez De la calle Hacking web con OWASP
  • 9. Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy . . . Ezequiel V´azquez De la calle Hacking web con OWASP
  • 10. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 11. OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´olo pentesting! Disponible como libro, PDF y wiki Ezequiel V´azquez De la calle Hacking web con OWASP
  • 12. OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ıticas, est´andares, etc. Definir m´etricas y criterios de evaluaci´on 2 Durante la definici´on y el dise˜no Revisar requisitos de seguridad Revisar dise˜no y arquitectura Crear y revisar modelos de amenazas Ezequiel V´azquez De la calle Hacking web con OWASP
  • 13. OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´odigo junto con los desarrolladores 4 Durante el despliegue Realizar test de penetraci´on [!] Analizar la gesti´on de la configuraci´on 5 Durante el mantenimiento Revisar la gesti´on de operaciones Pruebas peri´odicas del estado de salud Asegurar la verificaci´on de cambios Ezequiel V´azquez De la calle Hacking web con OWASP
  • 14. OWASP Testing Guide Ezequiel V´azquez De la calle Hacking web con OWASP
  • 15. Pentesting con OWASP Adquisici´on de informaci´on An´alisis de fuentes p´ublicas sobre el sitio web An´alisis de la ayuda del propio sitio Uso de spiders, robots y crawlers (puntos de entrada) An´alisis de metadatos de los ficheros descargables Ezequiel V´azquez De la calle Hacking web con OWASP
  • 16. Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´on de operadores avanzados del buscador. site: Limitar la b´usqueda a un ´unico dominio cache: Buscar en la cach´e de Google inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´on indicada Ezequiel V´azquez De la calle Hacking web con OWASP
  • 17. Pentesting con OWASP Revisi´on de la configuraci´on Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´on a BBDD (Conexiones remotas) Sistema operativo del servidor Configuraci´on del servidor web (Versi´on vulnerable) M´etodos HTTP permitidos por el servidor (PUT, DELETE) Ezequiel V´azquez De la calle Hacking web con OWASP
  • 18. Pentesting con OWASP An´alisis de autenticaci´on Enumeraci´on de usuarios (M´odulo Views de Drupal) Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´on (SQLi) Contrase˜nas suprayectivas Ezequiel V´azquez De la calle Hacking web con OWASP
  • 19. Pentesting con OWASP An´alisis de la gesti´on de la sesi´on Exposici´on de variables de sesi´on Cookies no cifradas (modificaci´on de atributos) Cross Site Request Forgery Ezequiel V´azquez De la calle Hacking web con OWASP
  • 20. Pentesting con OWASP An´alisis de autorizaci´on y l´ogica de negocio Acceso a ficheros Escalado de privilegios Fallos en la l´ogica de la aplicaci´on An´alisis de mensajes de error Ezequiel V´azquez De la calle Hacking web con OWASP
  • 21. Pentesting con OWASP Validaci´on de datos de entrada y salida Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´azquez De la calle Hacking web con OWASP
  • 22. Pentesting con OWASP Denegaci´on de servicio No liberaci´on de recursos Almacenamiento de demasiada informaci´on en la sesi´on Bloqueo de usuarios Entrada de usuario en un bucle Gesti´on de peticiones repetitivas (LOIC) Ezequiel V´azquez De la calle Hacking web con OWASP
  • 23. ¿Y c´omo protejo mi web? Buenas pr´acticas Auditor´ıas de seguridad peri´odicas Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´a fallos de seguridad Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´azquez De la calle Hacking web con OWASP
  • 24. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 25. OWASP Top Ten Lista de vulnerabilidades m´as comunes Publicada cada tres a˜nos Cuarta versi´on en 2013 ”Meter el miedo en el cuerpo” ´Util como referencia r´apida Ezequiel V´azquez De la calle Hacking web con OWASP
  • 26. OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´azquez De la calle Hacking web con OWASP
  • 27. Nikto2 Esc´aner de vulnerabilidades web C´odigo abierto (GPL) Comprueba versiones desactualizadas, m´etodos HTTP, etc. No est´a dise˜nado como herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´azquez De la calle Hacking web con OWASP
  • 28. SQLMap Automatiza la detecci´on y explotaci´on de vulnerabilidades SQLinjection C´odigo abierto (GPL) Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´azquez De la calle Hacking web con OWASP
  • 29. OWASP Xenotix Framework de detecci´on y explotaci´on de XSS Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´azquez De la calle Hacking web con OWASP
  • 30. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 31. Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´on con resultados obtenidos Un buen an´alisis debe intentar cubrir el m´aximo de la superficie de ataque Ahorro o p´erdida de dinero, reputaci´on, etc. La importancia de la formaci´on Ezequiel V´azquez De la calle Hacking web con OWASP
  • 32. Conclusiones Ezequiel V´azquez De la calle Hacking web con OWASP
  • 33. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 34. Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Top ten web hacking techniques (2012) https://www.whitehatsec.com/resource/grossmanarchives/ 12grossmanarchives/120612toptenwebhack.html Burp Suite http://portswigger.net/burp Ezequiel V´azquez De la calle Hacking web con OWASP
  • 35. Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´azquez De la calle Hacking web con OWASP