Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
-
Upload
internet-security-auditors -
Category
Business
-
view
483 -
download
0
description
Transcript of Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
![Page 1: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/1.jpg)
The OWASP Foundationhttp://www.owasp.org
Aportación de la OWASP a la comunidadinternacional.Seguridad en las relaciones de confianza.
Vicente Aguilera DíazOWASP Spain Chapter LeaderCISA, CISSP, ITILF, CEH Instructor, OPSA, [email protected]
28 marzo 2008
![Page 2: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/2.jpg)
2OWASP
¿Quién soy?
Vicente Aguilera DíazCISA, CISSP, ITILF, CEH Instructor, OPSA, OPSTOWASP Spain chapter leaderSocio co-fundador de Internet Security AuditorsMiembro del consejo técnico asesor de RedSeguridad6 años focalizado en seguridad en aplicaciones WebColaborador de OWASP Testing Guide v2, WASC Threat
Classification v2Artículos y conferencias sobre seguridad en aplicacionesVulnerabilidades en Oracle, SquirrelMail, Hastymail,
ISMail, GMail, ...
![Page 3: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/3.jpg)
3OWASP
Agenda
Aportación de la OWASP a la comunidad internacionalCapítulo español de la OWASPSeguridad en las relaciones de confianza¿Preguntas?
![Page 4: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/4.jpg)
4OWASP
Aportación de la OWASP a la comunidad internacional
![Page 5: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/5.jpg)
5OWASP
OWASP
El Open Web Application Seguridad Project (OWASP)está dedicado a la búsqueda y la lucha contra lascausas de software inseguro. La OWASP Foundationes una organización sin ánimo de lucro que proporcionala infraestructura y apoya nuestro trabajo.
La participación es gratuita y abierta para todosAquí todo es gratuito y de código abiertoObjetivos: crear herramientas, documentación y
estándares relacionados con la seguridad en aplicaciones7685 miembros y 114 capítulos locales en el mundo
![Page 6: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/6.jpg)
6OWASP
OWASP
Todos los miembros son voluntariosComunicación: MediaWiki (www.owasp.org)Proporciona recursos gratuitos a la comunidad:
publicaciones, artículos, estándares, aplicaciones de testy aprendizaje, capítulos locales, listas de correo yconferencias
Modelo de licencia: Open Source y licencias comercialespara miembros
![Page 7: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/7.jpg)
7OWASP
OWASP
El estilo OWASP: “open”GratuitoConsensuadoLibre de utilizar y modificar IndependienteCompartiendo conocimientosÁmplio público y participación
![Page 8: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/8.jpg)
8OWASP
OWASP
Causas de software inseguroVulnerabilidadesDesarrolladoresEstructura organizativa, procesos de desarrollo, tecnología Incremento de conectividad y complejidadRequerimientos legales
![Page 9: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/9.jpg)
9OWASP
OWASP
Aportaciones
Top 10
WebGoat
Conferences
Site Generator
Building Guide
CLASP
AJAX
.NET, Java
Testing Guide
WebScarab
Validation
Certification
Chapters
Wiki Portal
Mailing list
Blogs
... y muchos otros proyectos!http://www.owasp.org/index.php/Category:OWASP_Project
![Page 10: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/10.jpg)
10OWASP
OWASP
AportacionesProyectos (Herramientas)
OWASP WebGoat ProjectOWASP WebScarab ProjectOWASP AntiSamy ProjectOWASP CAL9000 ProjectOWASP CSRFGuard ProjectOWASP DirBuster ProjectOWASP Encoding ProjectOWASP LAPSE ProjectOWASP Live CD Education ProjectOWASP Live CD ProjectOWASP .NET Research
![Page 11: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/11.jpg)
11OWASP
OWASP
AportacionesProyectos (Herramientas)
OWASP Pantera Web Assessment Studio ProjectOWASP Report GeneratorOWASP Site GeneratorOWASP SQLiX ProjectOWASP TigerOWASP WeBekci ProjectOWASP WSFuzzer ProjectOWASP CSRFTester ProjectOWASP Insecure Web App ProjectOWASP Interceptor ProjectOWASP JBroFuzz Project
![Page 12: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/12.jpg)
12OWASP
OWASP
AportacionesProyectos (Herramientas)
OWASP Sprajax ProjectOWASP Stinger ProjectOWASP Web 2.0 Project
25 PROYECTOS SOBRE HERRAMIENTAS
![Page 13: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/13.jpg)
13OWASP
OWASP
AportacionesProyectos (Documentación)
OWASP AppSec FAQ ProjectOWASP Guide ProjectOWASP Legal ProjectOWASP Testing GuideOWASP Top Ten ProjectOWASP CLASP ProjectOWASP Code Review ProjectOWASP Tools ProjectOWASP AJAX Security GuideOWASP Application Security Assessment Standards ProjectOWASP Application Security Requirements
![Page 14: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/14.jpg)
14OWASP
OWASP
AportacionesProyectos (Documentación)
OWASP Application Security Metrics ProjectOWASP Career Development ProjectOWASP Certification Criteria ProjectOWASP Certification ProjectOWASP Communications ProjectOWASP Honeycomb ProjectOWASP Java ProjectOWASP Logging GuideOWASP PHP ProjectOWASP Scholastic Application Security Assessment ProjectOWASP Validation Project
![Page 15: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/15.jpg)
15OWASP
OWASP
AportacionesProyectos (Documentación)
OWASP WASS GuideOWASP Web Application Security Put Into PracticeOWASP XML Security Gateway Evaluation CriteriaOWASP Education ProjectOWASP on The Move ProjectOWASP Fuzzing Code Database
28 PROYECTOS DE DOCUMENTACIÓN
![Page 16: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/16.jpg)
16OWASP
OWASP
Han adoptado el OWASP Top Ten...
La Federal Trade Commission (EEUU) recomiendaencarecidamente que todas las empresas usen el OWASPTon Ten y se aseguren de que sus partners hagan lomismo.
La Defense Information Systems Agency (EEUU) haenumerado el OWASP Top Ten como las mejores prácticasa utilizar como parte del DOD Information TechnologySecurity Certification and Accreditation (C&A) Process(DITSCAP).
![Page 17: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/17.jpg)
17OWASP
OWASP
Han adoptado el OWASP Top Ten...Un gran número de organizaciones internacionales
... y muchas otras en todo el mundo!
![Page 18: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/18.jpg)
18OWASP
OWASP
Han adoptado el OWASP Top Ten...El estándar Payment Card Industry (PCI) ha adoptado
el OWASP Top Ten, y requiere (entre otros aspectos) quetodos los comercios realicen una auditoría de código delas aplicaciones que desarrollan.PCI Requirement 6.5 points towards the OWASP project as a
source of secure coding guidance.PA-DSS (Payment Application Data Security Standard)
http://ww.pcisecuritystandards.org
![Page 19: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/19.jpg)
19OWASP
OWASP
Referencias a nuestros proyectos...Gran número de libros:
http://books.google.com/books?as_q=owasp
![Page 20: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/20.jpg)
20OWASP
OWASP
A nivel españolEntidades financierasUniversidadesEmpresas de desarrolloEmpresas de seguridad
![Page 21: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/21.jpg)
21OWASP
OWASP
Principales proyectosDocumentación:
A Guide to Building Secure Web Applications and Web ServicesTesting GuideTop Ten
Herramientas:WebScarabWebGoat
![Page 22: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/22.jpg)
22OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Es un libro: 310 páginasGratuitoMuchos colaboradoresAplicaciones y Web ServicesEjemplos en J2EE, PHP, ASP.NETExhaustivoEvoluciona (1ª versión en 2002)
http://www.owasp.org/index.php/Category:OWASP_Guide_Project
![Page 23: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/23.jpg)
23OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Orientado a:Desarrolladores: guía para implementar mecanismos de
seguridad y evitar vulnerabilidadesJefes de Proyecto: identificar actividades a realizar (modelado
de amenazas, revisión de código, pentest, etc.)Equipos de Seguridad: estructurar las pruebas, conocer
mecanismos de seguridad y soluciones
![Page 24: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/24.jpg)
24OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
27 capítulos:
1. About the Open Web Application Security Project 2. Introduction 3. What are Web Applications? 4. Policy Frameworks 5. Secure coding principles 6. Threat risk modeling 7. Handling e-commerce payments 8. Phishing 9. Web Services 10. AJAX and other “rich” interface technologies 11. Authentication 12. Authorization 13. Session Management 14. Data Validation
15. Interpreter injection 16. Canoncalization, locale and unicode 17. Error handling, auditing and logging 18. File system 19. Distributed computing 20. Buffer overflows 21. Administrative interfaces 22. Cryptography 23. Configuration 24. Software quality assurance 25. Deployment 26. Maintenance 27. GNU free documentation license
![Page 25: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/25.jpg)
25OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Cubre las áreas clave de la seguridad en aplicaciones:AutenticaciónAutorizaciónGestión de sesionesValidación de datosCanonicalizaciónGestión de errores, log y auditoríaConfiguración
![Page 26: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/26.jpg)
26OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Para cada aspecto tratado:ObjetivosTeoríaBuenas prácticasCómo determinar si somos vulnerablesCómo protegernos
![Page 27: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/27.jpg)
27OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Autenticación:Técnicas habituales de autenticación WebFuerza brutaCAPTCHAAutenticación fuerteAutenticación positivaSelección de nombres de usuarioCambios de contraseñaLogout ...
![Page 28: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/28.jpg)
28OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Autorización:Principio de mínimo privilegioRutinas centralizadas de autorizaciónMatriz de autorizaciónControl de acceso sobre recursos protegidosProtección del acceso a recursos estáticosRe-autorización en acciones de alto valor ...
![Page 29: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/29.jpg)
29OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Gestión de sesiones:Exposición de variables de sesiónTokens de sesiónDetección de ataques de fuerza brutaDebilidad de los algoritmos criptográficosRegeneración de tokens de sesiónSecuestro de sesiónAtaques a la validación de sesiones ...
![Page 30: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/30.jpg)
30OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Validación de datos:Donde incluir validacionesDonde incluir verificaciones de integridadDonde incluir validaciones de las reglas de negocioEstrategias de validación de datosPrevención de la alteración de datosCodificación de URL y HTML ...
![Page 31: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/31.jpg)
31OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Canonicalización:Formatos de entradaUNICODEDoble (o N-) codificaciónHTTP Request Smuggling ...
![Page 32: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/32.jpg)
32OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Gestión de errores, log y auditoría:Mensajes de error detalladosLoggingRuídoCubrir pistasFalsas alarmasPistas de auditoríaGestión de errores ...
![Page 33: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/33.jpg)
33OWASP
OWASP
A Guide to Building Secure Web Applications andWeb Services
Configuración:Contraseñas por defectoCadenas de conexión segurasTransmisión por red seguraCifrado de datosSeguridad en la base de datos ...
![Page 34: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/34.jpg)
34OWASP
OWASP
Testing GuideEs un libro: 270 páginasGratuitoMuchos colaboradoresAborda todo el SDLCExhaustivoEvoluciona (1ª versión en 2004)Traducido a español!
http://www.owasp.org/index.php/Category:OWASP_Testing_Project
![Page 35: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/35.jpg)
35OWASP
OWASP
Testing GuidePruebas de seguridad en aplicaciones
Si los coches se construyeran como las aplicaciones... Los tests de seguridad únicamente asumirían impactos frontales No existirían tests para verificar la estabilidad en maniobras de
emergencias No existirían tests para verificar la efectividad de los frenos No existirían tests para verificar la resistencia al robo ...
Denis Verdon, Head of Information Security (Fidelity National Financial)OWASP AppSec 2004 Conference (New York)
![Page 36: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/36.jpg)
36OWASP
OWASP
Testing GuidePruebas de seguridad en aplicaciones
"Me alegro de que los desarrolladores desoftware no construyan coches”Eoin Keary, líder del proyecto OWASP Code Review
![Page 37: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/37.jpg)
37OWASP
OWASP
Testing GuideAutores
Con colaboración de miembros del capítulo español!
![Page 38: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/38.jpg)
38OWASP
OWASP
Testing GuideContenido
1. Portada2. Introducción3. El entorno de pruebas OWASP4. Pruebas de intrusión en aplicaciones Web5. Redacción de informes: valorar el riesgo realApéndice A: Herramientas de comprobaciónApéndice B: Lectura recomendadaApéndice C: Vectores de fuzzing
![Page 39: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/39.jpg)
39OWASP
OWASP
Testing GuideEl entorno de pruebas OWASPFase 1: Antes de comenzar el desarrollo
Verificar que el SDLC propuesto es adecuado eincorpora la capa de seguridad
Verificar que la política y estándares son conocidos porlos miembros del equipo
Desarrollar métricas
![Page 40: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/40.jpg)
40OWASP
OWASP
Testing GuideEl entorno de pruebas OWASPFase 2: Durante definición y diseño
Revisar requerimientos de seguridadRevisión del diseño y arquitecturaCrear y revisar modelos de amenazas
![Page 41: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/41.jpg)
41OWASP
OWASP
Testing GuideEl entorno de pruebas OWASPFase 3: Durante el desarrollo
Inspección de códigoRevisión de código
![Page 42: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/42.jpg)
42OWASP
OWASP
Testing GuideEl entorno de pruebas OWASPFase 4: Durante el despliegue
Pentest de aplicacionesVerificar la gestión de configuraciones
Fase 5: Mantenimiento y OperaciónRevisiones de la gestión operativaVerificaciones periódicasAsegurar la verificación de cambios
![Page 43: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/43.jpg)
43OWASP
OWASP
Testing GuidePruebas de intrusión en aplicaciones Web¿Qué es una prueba de intrusión en aplicaciones Web?
Método de evaluación de la seguridad mediante la simulación deun ataque
¿Qué es una vulnerabilidad?Debilidad en un activo que hace posible una amenaza
Nuestra aproximación a la hora de escribir esta guía:AbiertaColaborativa
![Page 44: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/44.jpg)
44OWASP
OWASP
Testing GuidePruebas de intrusión en aplicaciones WebHemos dividido el conjunto de pruebas en 8 subcategorías
(para un total de 48 controles):Recopilación de informaciónComprobación de la lógica de negocioPruebas de autenticaciónPruebas de gestión de sesionesPruebas de validación de datosPruebas de denegación de servicioPruebas de servicios WebPruebas de AJAX
![Page 45: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/45.jpg)
45OWASP
OWASP
Testing GuidePruebas de intrusión en aplicaciones WebPor ejemplo...
![Page 46: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/46.jpg)
46OWASP
OWASP
Testing GuidePruebas de intrusión en aplicaciones WebPlantilla para las pruebas
Breve resumen Descripción en “lenguaje natural” qué se espera probar
Descripción Breve descripción del problema
Pruebas de caja negra y ejemploPruebas de caja gris y ejemploReferencias
Whitepapers Herramientas
![Page 47: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/47.jpg)
47OWASP
OWASP
Top TenEs un documento: 35 páginasGratuitoMuchos colaboradoresLas 10 vulnerabilidades más críticasEvoluciona y se adapta
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
![Page 48: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/48.jpg)
48OWASP
OWASP
Top TenEnumera y describe las 10 vulnerabilidades más críticasAporta recomendacionesCrecimiento en su aceptación
Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program)
Fuerte empuje para ser considerado un estándar
![Page 49: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/49.jpg)
49OWASP
OWASP
Top TenTop Ten actual (2007)
A1. Cross Site Scripting (XSS)A2. Injection FlawsA3. Malicious File ExecutionA4. Insecure Direct Object ReferenceA5. Cross Site Request Forgery (CSRF)A6. Information Leakage and Improper Error HandlingA7. Broken Authentication & Session ManagementA8. Insecure Cryptographic StorageA9. Insecure CommunicationsA10. Failure to Restrict URL Access
![Page 50: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/50.jpg)
50OWASP
OWASP
Top TenPlantilla para cada vulnerabilidad
Entornos afectadosVulnerabilidadVerificación de seguridadProtecciónEjemplosReferencias
![Page 51: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/51.jpg)
51OWASP
OWASP
WebScarabEs una herramienta desarrollada en JavaPermite realizar pruebas de seguridad en aplicaciones y
servicios WebAnaliza tráfico HTTP y HTTPsMúltiples usos
Desarrollador: tareas de debug y testingAuditor de seguridad: identificación de vulnerabilidades
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
![Page 52: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/52.jpg)
52OWASP
OWASP
WebScarab¿Qué puede hacer?
Proxy – observa tráfico entre el navegador y el servidor,incluyendo la capacidad de modificar la información transmitida
Spider – identifica nuevas URLs en cada recurso visitadoSessionID Analysis – genera y analiza cookies para determinar
como de predecibles resultan los tokens de sesiónFuzzer – realiza sustitución automatizada de valores en los
parámetros con el objetivo de detectar validaciones deficientesFragment Analysis – extrae scripts y comentarios del código HTML
... y mucho más!
![Page 53: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/53.jpg)
53OWASP
OWASP
WebScarabAspecto de la herramienta
![Page 54: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/54.jpg)
54OWASP
OWASP
WebGoatEs una aplicación web, intencionadamente inseguraDesarrollada en Java, basada en Tomcat y JDK 1.5Diseñada para aprender lecciones de seguridad en
aplicaciones webEn cada lección, los usuarios deben demostrar su
conocimiento sobre un problema de seguridad, explotandouna vulnerabilidad real en la aplicación WebGoat
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
![Page 55: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/55.jpg)
55OWASP
OWASP
WebGoatAplicación de aprendizajeHerramienta educativa para aprender sobre seguridad en
aplicaciones webEntorno para analizar herramientas de seguridad
![Page 56: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/56.jpg)
56OWASP
OWASP
WebGoat¿Qué puedes aprender?
Cross Site ScriptingSQL Injection (Blind, numeric, etc.)Manipulación de parámetros y campos de formularioCookies de sesiónControl de accesoWeb ServicesFugas de información
... y mucho más a lo largo de 30 lecciones!
![Page 57: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/57.jpg)
57OWASP
OWASP
WebGoatAspecto de la aplicación
![Page 58: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/58.jpg)
58OWASP
Capítulo español de la OWASP
![Page 59: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/59.jpg)
59OWASP
OWASP-Spain
http://www.owasp.org/index.php/SpainFundado en diciembre de 2005 por Vicente
AguileraUbicado en Barcelona176 miembros (cuarto capítulo europeo en
número de miembros)Uno de los 50 recursos más visitados de la
OWASP
Patrocinador del capítulo
![Page 60: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/60.jpg)
60OWASP
OWASP-Spain
ReglasGratuito y abierto para todos Idioma: preferiblemente en españolNo a las presentaciones comercialesRespeto sobre las distintas opiniones1 CPE por cada hora de asistencia a nuestros OWASP
Spain chapter meetings
![Page 61: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/61.jpg)
61OWASP
OWASP-Spain
¿Qué ofrecemos?Eventos semestralesLista de correo local:
https://lists.owasp.org/mailman/listinfo/owasp-spainPresentacionesForo abierto de discusiónPunto de encuentro de profesionales de la seguridadDifusión del conocimiento en España sobre seguridad en
aplicaciones Web¿Proyectos locales? ¡Necesitamos iniciativas!
![Page 62: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/62.jpg)
62OWASP
OWASP-Spain
En un futuro próximo...Colaboraciones con otras asociaciones/entidadesDesarrollo de proyectos con iniciativas localesEventos en distintas ciudades españolasEventos con mayores actividadesNuevos contenidos en la Web del capítulo: nuevas
secciones, herramientas, videos, etc.
![Page 63: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/63.jpg)
63OWASP
OWASP-Spain
OWASP Spain chapter meetingNuevo evento: octubre 2008Ubicación: por decidir... (¿alguna sugerencia?)Programa habitual: breve introducción a la OWASP,
panel con cuatro ponentes sobre distintas temáticas... ycoffee-break! ;-)
Ponentes y temáticas: aceptamos propuestas!140 asistentes en nuestro último evento (marzo 2008)
![Page 64: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/64.jpg)
64OWASP
OWASP-Spain
Sugerencias...Mantente actualizado: suscríbete a nuestra lista de correoEnvía tus cuestiones sobre aplicaciones WebParticipa en las discusionesColabora en proyectos existentesTen iniciativa: propuesta de nuevos proyectosConoce a profesionales de la seguridad y amplía tus
conocimientos: ¡asiste a nuestros meetings!
![Page 65: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/65.jpg)
65OWASP
¿Dudas?
![Page 66: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/66.jpg)
66OWASP
Seguridad en las relaciones de confianza
![Page 67: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/67.jpg)
67OWASP
Relaciones de confianza
La aplicación Web no está aislada:Relaciones con:
Sistema operativoServidores
Base de datos Autenticación Aplicación FTP Correo ...
Usuarios!
Problemas de inyección
![Page 68: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/68.jpg)
68OWASP
Relaciones de confianza
Ataques de inyecciónSQL InjectionLDAP InjectionSSI Injection IMAP/SMTP InjectionXML InjectionXPath InjectionOS Command InjectionUser Agent InjectionCode Injection ...
![Page 69: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/69.jpg)
69OWASP
Relaciones de confianza
Ataques de inyección¿Cuando puede ocurrir?
Cuando datos facilitados por el usuario son enviados a unintérprete (o invocan otros procesos) como parte de un comandoo consulta
ResultadoEl intérprete/proceso ejecuta comandos no deseados, controlados
por el atacante
Causa del problemaValidación deficiente de los datos de entrada/salida
![Page 70: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/70.jpg)
70OWASP
Relaciones de confianza
Comprensión global de las amenazas
Consciencia
Entendimiento
Solución conociendo la dimensión
Si se desconoce la dimensiónes posible que no se implemente la solución
![Page 71: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/71.jpg)
71OWASP
Relaciones de confianza
Comprensión global de las amenazas
![Page 72: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/72.jpg)
72OWASP
Relaciones de confianza
Relación con BBDD: SQL InjectionSQL Injection
Alteración de la sentencia SQL que se ejecuta contra la base dedatos mediante la manipulación de parámetros de entrada a laaplicación
Ejemplo típico
SQLQuery = "SELECT Username FROM Users WHERE Username = '"& strUsername & "' AND Password = '" & strPassword & "'"strAuthCheck = GetQueryResult(SQLQuery)
![Page 73: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/73.jpg)
73OWASP
Relaciones de confianza
Relación con BBDD: SQL InjectionEjemplo no tan típico...
Aprovechar un buffer overflow en una función de Oracle paraejecutar código arbitrario:
Ejemplo propuesto por Esteban Martínez Fayó en su presentación “Advanced SQL Injection in Oracle databases”
![Page 74: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/74.jpg)
74OWASP
Relaciones de confianza
Relación con BBDD: SQL InjectionDistintos tipos de inyección
SQL Injection “normal”SQL Injection “a ciegas”SQL Injection “numérico”PL/SQL Injection
Clasificación InbandOut-of-band Inferential
¡Hay que entender la problemática de todos ellos!
![Page 75: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/75.jpg)
75OWASP
Relaciones de confianza
Relación con BBDD: SQL InjectionRecomendaciones
Validación exhaustiva de todas las entradas Filtro positivo (siempre que sea posible)
Securización de la base de datosUso de APIs parametrizadasNo utilizar simples funciones de escapeMínimo privilegio
En las conexiones con la BBDD u otros componentes
Limitar el tamaño de las entradas No sólo en el cliente!
Gestión robusta de errores Evitar mensajes excesivamente detallados y fugas de información
![Page 76: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/76.jpg)
76OWASP
Relaciones de confianza
Relación con MailServers: IMAP/SMTP InjectionEjemplo 2: IMAP/SMTP Injection
Alteración de comandos IMAP/SMTP que se ejecutan contra losservidores de correo mediante la manipulación de parámetros deentrada a la aplicación
![Page 77: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/77.jpg)
77OWASP
Relaciones de confianza
Relación con MailServers: IMAP/SMTP InjectionSe basa en la inyección de la secuencia CRLF
%0d%0a, \r\n
Ataques posiblesExplotación de vulnerabilidades en el protocolo IMAP/SMTPEvadir restricciones a nivel de aplicaciónProvocar fugas de informaciónSPAM¿otros?
Las posibilidades dependen del tipo y ámbito de lainyección y del servidor de correo analizado
![Page 78: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/78.jpg)
78OWASP
Relaciones de confianza
Relación con MailServers: IMAP/SMTP InjectionEjemplo
http://<webmail>/read_email.php?message_id=4791
message_id=4791 BODY[HEADER]%0d%0aV100CAPABILITY%0d%0aV101 FETCH 4791
FETCH 4791 BODY[HEADER]
???? FETCH 4791 BODY[HEADER]V100 CAPABILITYV101 FETCH 4791 BODY[HEADER]
![Page 79: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/79.jpg)
79OWASP
Relaciones de confianza
Relación con MailServers: IMAP/SMTP InjectionEjemplo práctico: evasión de CAPTCHA
El CAPTCHA evitaría ataquesautomáticos contra lascontraseñas de los usuarios...
![Page 80: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/80.jpg)
80OWASP
Relaciones de confianza
Relación con MailServers: IMAP/SMTP InjectionEjemplo práctico: evasión de CAPTCHA
Supongamos que un usuario utiliza las siguientes credenciales: username = victima Password = pwdok
Supongamos que un atacante desea ejecutar un passwordcracking utilizando el siguiente diccionario de contraseñas: pwderror1, pwderror2, pwdok, pwderror3
Supongamos que el esquema de autenticación es vulnerable aIMAP Injection (en el campo “Password”)
![Page 81: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/81.jpg)
81OWASP
Relaciones de confianza
Relación con MailServers: IMAP/SMTP InjectionAtaque
http://<webmail>/src/login.jsp?login=victim&password=%0d%0aZ900 LOGIN victim pwderror1%0d%0aZ910 LOGIN victimpwderror2%0d%0aZ920 LOGIN victim pwdok%0d%0aZ930LOGIN victim pwderror3
C: Z900 LOGIN victim pwderror1S: Z900 NO Login failed: authentication failureC: Z910 LOGIN victim pwderror2S: Z910 NO Login failed: authentication failureC: Z920 LOGIN victim pwdokS: Z920 OK User logged inC: Z930 LOGIN victim pwderror3S: Z930 BAD Already logged in
![Page 82: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/82.jpg)
82OWASP
Relaciones de confianza
Relación con MailServers: IMAP/SMTP InjectionRecomendaciones
Validación exhaustiva de todas las entradas Filtro positivo (siempre que sea posible)
No permitir la secuencia CRLFUtilizar librerías segurasSecurización de los servidores de correoLimitar el tamaño de las entradas
No sólo en el cliente!
Gestión robusta de errores Evitar mensajes excesivamente detallados y fugas de información
![Page 83: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/83.jpg)
83OWASP
REFERENCIAS
OWASP http://www.owasp.org
Capítulo español de la OWASP http://www.owasp.org/index.php/Spain
OWASP Guide http://www.owasp.org/index.php/Category:OWASP_Guide_Project
OWASP Testing Guide http://www.owasp.org/index.php/Category:OWASP_Testing_Project
OWASP Top Ten http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
WebScarab http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
![Page 84: Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS](https://reader034.fdocumento.com/reader034/viewer/2022051314/557ada98d8b42a8f648b4a95/html5/thumbnails/84.jpg)
84OWASP
REFERENCIAS
WebGoat http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Advanced SQL Injection in Oracle databases http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-fayo.pdf
Capturing and Exploiting Hidden Mail Servers http://www.webappsec.org/projects/articles/121106.pdf