Seguridad en Las Redes

Seguridaden las redes /Web

Temario

Owasp

Owasp Top 10

Situacin en Colombia

Integra la Seguridad a la Gerencia IT

Por Que Hacerlo

Owasp Entrenamiento

Herramientas

Demos

Contramedidas

OWASP

Es un proyecto de cdigo abierto dedicado a determinar y combatir las causas que

hacen que el software sea inseguro.

Orientada a la prestacin de servicios orientados a la Web Sin fines de lucro,

organizacin de voluntarios.

La comunidad OWASP est formada por empresas, organizaciones educativas y

particulares de todo mundo. Juntos constituyen una comunidad de seguridad

informtica que trabaja para crear artculos, metodologas, documentacin,

herramientas y tecnologas que se liberan y pueden ser usadas gratuitamente por

cualquiera.

OWASP

The Open Web Application Security Project

140+ Listas de chequeo, herramientas y guas 150 Captulos locales 20,000 desarrolladores, breakers y defensores Citaciones: NSA, DHS, PCI, NIST, FFIEC, CSA, CIS, DISA, ENISA and more..

OWASP Top 10

El objetivo del proyecto Top 10 es crear

conciencia sobre la seguridad en

aplicaciones mediante la identificacin de

algunos de los riesgos ms crticos que

enfrentan las organizaciones.

OWASP Top 10 - 2013

A1 Inyeccin

A2 Prdida de Autenticacin y Gestin de Sesiones

A3 Secuencia de Comandos en Sitios Cruzados (XSS)

A4 Referencia Directa Insegura a Objetos

A5 Defectuosa Configuracin de Seguridad

A6 Exposicin de Datos Sensibles

A7 Inadecuada Configuracin Funciones nivel de control de

Acceso

A8 Falsificacin de Peticiones en Sitios Cruzados (CSRF)

A9 Uso de Componentes con conocidas vulnerabilidades

A10 Redirecciones y reenvos no validados

Situacin Actual

Situacin en Colombia

PREGUNTAS?
http://www.zone-h.org/

Integrar la Seguridad a Gerencia TI

Seguridad como un Proceso Testeos Regulares Outsourcing Testing No desafi a un Hacker

Por que Pentest en sus Propias Aplicaciones

Esto no es tan Duro Numerosas Herramientas Disponibles Ahorra $$$$ Es Divertido

Entienda las Amenazas OWASP BWA Entrenamiento

HERRAMIENTAS

Mantra W3AF Uniscan Nikto JoomScan Plecost SqlMap Havij Owasp Zap VeraCode Burp

WebSecurify WebInspect Acunetix Etc

DEMO

XSS pruebas bsicas Mantra WebSecurify Uniscan W3AF Nikto JoomScan Plecost SqlMap Havij Acunetix Owasp Zap Zombies XSS Vega

XSS Pruebas Bsicas

Hola Mundo alert(123); Me estoy desplazando alert(document.cookie); Me estoy desplazando

Mantra Portable

WebSecurify

NO RECOMENDABLE

Google Hacking

Exportaciones de Base de Datos

Base de Datos
http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"

Uniscan

NIKTO

cd /pentest/web/nikto/ ./nikto.pl -update

JOOMSCAN cd /pentest/web/joomcan/ ./joomscan.pl update ./joomscan.pl -u www.victima.com
http://www.victima.com/

PLECOST cd /pentest/web/plecost/ ./plecost-0.2.2-9-beta.py R wp_plugin_list.txt ./plecost-0.2.2-9-beta.py i wp_plugin_list.txt o resultado.txt www.victima.com

inurl:/wp-content/ site:ec /wp-admin
http://www.victima.com/https://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a

SQLMAP cd /pentest/database/sqlmap ./sqlmap.py --update ./sqlmap.py --wizard

Acunetix

Owasp Zap

Zombis XSS

Contramedidas

WAF (Web Aplicattion Firewall) OSSIM Ojo con las Prcticas Empresariales Control de Calidad de Software Confi en el OutSourcing de Seguridad Realice Testeos Propios 3 Veces al ao Contrate Testeos Especializados 1 Vez al Ao Actualice Su Software Permanentemente No Desafi a Una Comunidad de Seguridad

Libros Informtica 64
http://www.informatica64.com/

Seguridad en Las Redes

Documents

Transcript of Seguridad en Las Redes