• Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
692
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
7
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. The OWASP Foundation http://www.owasp.orgIntroducción a la OWASP Ing. Camilo Fernández Consultor en Seguridad Informática Agosto, 2011 camilo.fernandez@owasp.org
  • 2. Camilo Fernandez?• 8+ años de experiencia en seguridad informática.• Presidente de OWASP Guatemala.• seguridad! seguridad! Seguridad! Certificaciones en Seguridad Informática CISM Certified Information Security Manager CISSP Certified Information Systems Security Professional CISA Certified Information Security Auditor CEH Certified Ethical Hacker CHFI Computer Hacking Forensic Investigator MSCE 2003 : Security Microsoft Certified Engineer specialized in Security CEPT Certified Expert Penetration Tester ISO 27001 Lead Auditor Security+
  • 3. Que Dem#!..s.. Es la OWASP? OPEN WEB APPLICATION SECURITY PROJECT WASP = google { define:wasp } = ABEJA• Nació en el 2001, por un grupo de personas que se preguntaron: Porque nos confiamos de aplicaciones Web, que tipo de estándar de seguridad nos brinda confianza ?• Comunidad LIBRE y OPEN SOURCE de todos los proyectos que se desarrollan.• Organización NO LUCRATIVA
  • 4. Que Dem#!..s.. Es la OWASP? OPEN WEB APPLICATION SECURITY PROJECT• Abierta a cualquiera que quiera APRENDER, AYUDAR, DESARROLLAR o MEJORAR la seguridad en aplicaciones Web.• Misión: “Apoyar a organizaciones a crear, desarrollar, adquirir, operar o mantener aplicaciones que puedan ser confiables.”• Que nos Brinda: • Publicaciones, artículos, normas de buenas practicas. • Herramientas para auditorias de seguridad, educación y librerías de programación. • Capítulos locales & Listas de correo. • Conferencias internacionales. • BECAS DE INVESTIGACION > $100,000 USD
  • 5. Porque tanto bla.bla… de la OWASP?• Porque se volvió FAMOSA a nivel INTERNACIONAL.• Porque: NO apoya ninguna marca, tecnología o producto, apoya el CONOCIMIENTO. Finalmente, por que la NSA (National Security Agency) adopto y apoyo el proyecto del TOP TEN y lo mantiene como un estándar a nivel internacional de las 10 amenazas mas criticas en aplicaciones Web.
  • 6. Algunas publicaciones de la OWASP• Publicaciones: => documentos ( PDF, Word ) • TOP TEN – 10 Vulnerabilidades criticas en aplicaciones Web. Gerentes de Desarrollo/IT. • TESTING GUIDE – Guía de Auditoria Web. Pentesters. • Guía de Buenas practicas de desarrollo. Desarrolladores.
  • 7. Algunos proyectos de la OWASP• Proyectos: => Herramientas OPEN SOURCE • Threat Modeling Tool. Gerentes de Desarrollo. • WebScarab – Web Proxy. • DirBuster. • Zed Attack Proxy. Pentesters. • JBroFuzz. • WebGoat Librerías de Seguridad (ESAPI). • PHP, .NET, JAVA, Ruby, Python, Desarrolladores. • Objective C,C, C++, Javascript, etc.
  • 8. Bueno y ahora que va ver…en Guate! • Inicio de la comunidad de OWASP. • Objetivo #1: “Integrar a todos los que quieran participar.” • Oportunidad de presentar ideas y proyectos. • Reuniones Periódicas. • Ambientes Neutrales de Vendedores. • Café Gratis, si encontramos patrocinadores. • Objetivo #2: “Promover el desarrollo seguro en universidades.”
  • 9. Preguntas Pagina oficial del Capitulo en Guatemala: http://www.owasp.org/index.php/Guatemala Lista de Correo: https://lists.owasp.org/mailman/listinfo/owasp-guatemalaVisiten www.owasp.orgGracias por su atención!
  • 10. Hablemos de Hoy• Introducción a la OWASP.1. 10 Vulnerabilidades criticas en aplicaciones Web.2. Un método de cómo hacer BLIND SQL INJECTION.3. Como mitigarnos de esto en dos tecnologías diferentes: • PHP • .NET4. Que ofrece JAVA a nivel de seguridad.5. Veremos el modelo de seguridad que ofrece ANDROID.6. Cambio a charla de ataques de DoS !