SlideShare a Scribd company logo

OWASP Proyecto Presentación

Conferencias FIST
Conferencias FIST

Este documento presenta el proyecto OWASP (Open Web Application Security Project). OWASP es una organización independiente dedicada a mejorar la seguridad de software mediante la publicación de guías, herramientas y estándares de código abierto. El documento describe varios proyectos de OWASP como guías, aplicaciones como WebGoat y WebScarab, y la lista de las 10 vulnerabilidades web más comunes (OWASP Top 10). También explica cómo contribuir al proyecto y menciona otros proyectos relacionados.

Technology
1 of 19
Download to read offline
OWASP – presentación del proyecto Madrid, diciembre 2005
El conferenciante Javier Fernández-Sanguino <jfernandez@germinus.com> Consultor y jefe de proyecto en la división de seguridad IT de Germinus XXI, S.A. Ingeniero de Telecomunicación por la ETSIT-UPM, Miembro de diversos grupos de desarrollo de software libre dentro del proyecto Debian, y de los de diversas herramientas de seguridad, entre otras: Tiger, Nessus, y Bastille. Miembro fundador del grupo español de la Honeynet Alliance Miembro del grupo OWASP Testing Página 1
El proyecto OWASP Presentación del Proyecto OWASP -Introducción -Historia -Proyectos OWASP - Orientación y enfoque - Guías y metodologías: OWASP Top 10, OWASP Guide y OWASP Testing Guide - Aplicaciones: WebScarab y Webgoat [DEMO] -Cómo contribuir al proyecto -Otros proyectos relacionados -Referencias útiles Página 2
El proyecto OWASP - Introducción ¿Qué es el proyecto OWASP? Una organización independiente dedicada a encontrar y luchar contra las causas del software inseguro. Organizado en proyectos y capítulos locales repartidos por todo el mundo que desarrollan documentación, herramientas y estándares de fuentes abiertas (GPL, GFDL, LGPL). Está abierta a la participación de cualquier persona y patrocinador. Sponsors: Orientación del proyecto Intentar que el mundo produzca mejores programas. Mediante: -El desarrollo de herramientas útiles para identificar los fallos y corregirlos. -La educación de los grupos involucrados, para evitar que se produzcan fallos. -La definición de estándares. -El fomento de la discusión de problemas a través de una comunidad abierta. Página 3
Orientación OWASP - Ciclo de desarrollo seguro Diseñar Construir Desplegar Operar Descartar Pruebas de Análisis estático Pruebas de seguridad (herramientas) intrusión Casos de abuso Análisis de Revisión en base al Problemas Requisitos de riesgos externa riesgo Análisis de riesgos de seguridad seguridad Requisitos y Diseño Código Resultados Planes de Análisis de casos de uso de las prueba despliegue pruebas Página 4
Orientación OWASP - ¿Por qué? ¿Cuándo arreglar vulnerabilidades? • Es mejor identificar, buscar y arreglar los problemas de seguridad lo antes posible. • Cuanto más tarde se arregle un problema el coste será mayor. • Si se arreglan pronto se evitan también los costes de mantenimiento (parches) Retorno de inversión en el arreglo de vulnerabilidades web 25 21 20 15 15 12 10 5 0 Diseño Implementación Pruebas Fuente: “Tangible ROI through software engineering” SBQ, vol 1, nº 2 Página 5
El proyecto OWASP - Historia Septiembre 2001: Arranca el proyecto Abril 2005: Conferencia OWASP Appsec, OWASP Londres Junio 2002: OWASP Guide to Building Secure Julio 2005: OWASP Guide 2.0 (Black Hat) Web Applications (~90 pgs) (~300 pgs) Octubre 2002: VulnXML, WebScarab Octubre 2005: Conferencia OWASP Appsec, Washington DC Enero 2003: OWASP Top Ten, primera versión Estado actual Abril 2003: Codeseeker Nuevos proyectos para el 2005: OWASP Standard, OWASP Legal (contratación, Enero 2004: OWASP Top Ten, Proyectos regulación, RFPs), J2EE y Web Services beta: OWASP Labs (guías, metodologías y herramientas) Junio 2004: Conferencia OWASP Appsec, NY Abril 2004: OWASP PenTest checklist Diciembre 2004: OWASP Testing Guide Febrero 2005: OWASP Top Ten introducido en "Payment Card Industry Data Security Standard“ de VISA Página 6
El proyecto OWASP - Proyectos en la actualidad Desarrollo: Documentos y Guías: WebGoat Activo Legal Activo WebScarab Activo Guide Activo DotNet Activo Publicaciones Activo Validation Parado Testing Dudoso oLabs Parado Métricas Parado Miscelánea: AppSec FAQ Parado Capítulos Locales Muy activos Top Ten Parado Internacional Activo ISO17799 Parado Conferencias Activo Página 7
OWASP “Top Ten” Vulnerabilidades más frecuentes según OWASP Esta es la lista de problemas que dan lugar a vulnerabilidades de seguridad en el desarrollo web más frecuentes según el proyecto OWASP: • A1 Validación incorrecta de parámetros de entrada. • A2 Errores en el control de acceso. • A3 Errores en la autenticación y gestión de sesiones. • A4 Guiones a través del servidor (XSS). • A5 Sobrecarga de búfer. • A6 Inyección de código. • A7 Gestión inapropiada de los errores. • A8 Almacenamiento no seguro. • A9 Denegación de servicio. • A10 Gestión incorrecta de configuración (de servidores de web y de aplicaciones) Traducido a cinco idiomas. http://www.owasp.org/documentation/topten.html Página 8
OWASP Guide OWASP Guide Manual para diseñar, desarrollar y desplegar aplicaciones web, y dirigada a arquitectos de sistemas, programadores, consultores y auditores. Actualmente llega casi a las 300 páginas.Desde el 2002 se han descargado más de dos millones de copias y está ampliamente referenciada en estándares gubernamentales, financieros y corporativos. Trata: Formas canónicas y tratamiento de codificaciones Unicode Arquitecturas web Despliegue y configuración Mecanismos de autenticación Mecanismos de control de acceso Mecanismos de gestión de sesiones Mecanismos de registro y auditoría Validación de datos Problemas de inyección (código, XSS, SQL, XML, LDAP...) Privacidad Criptografía http://www.owasp.org/documentation/guide.html Página 9
OWASP Testing Guide OWASP Testing Guide Guía para definir una metodología de pruebas de seguridad en aplicaciones web pero no enfocada a las pruebas de intrusión sino al ámbito del ciclo de vida de desarrollo de software e introduciendo actividades de pruebas como la definición de modelos de riesgo, la revisión de código fuente y las pruebas de intrusión. Documentos producidos hasta la fecha: •OWASP Testing Guide (phase 1) – introducción a la metodología •OWASP Web Application Penetration Checklist – pruebas de intrusión y metodología Information Gathering - Harvest Information on the infrastructure and web environment En desarrollo: segunda fase de la guía de - Harvest Information of the interactive applications and dynamic content generation used Tester - Produce results for start of test pruebas: No Have No Go through each phase to test for individual weaknesses: - Input Validation - Session Manipulation - Logon Process, etc. Have Yes all attack methods all possible tests been exhausted and been executed? investigated? •descripción detallada de vulnerabilidades No Has a No possible vulnerability been detected? (Programming error, configuration • riesgos asociados error or system Did the vulnerability) attack succeed? Yes Yes No Attack target •pruebas y mecanismos para detectarlas directed to exploit Make a risk assessment vulnerability of the vulnerability Yes Yes •caja blanca Can the vulnerability compromise the service? No Is internal information leaked? (Source code fragments implementation information, etc.) Yes •caja negra. Yes Results: - Tested and succeeded vulnerabilities - Detailed impact and consequences Generate an Yes Is the of vulnerabilities in web service alert and information business contact the critical? Organization No http://www.owasp.org/documentation/testing.html Página 10
OWASP - WebGoat y WebScarab OWASP WebGoat Aplicación J2EE basada en Tomcat desarrollada para enseñar los problemas de aplicaciones web a través de lecciones en las que se simulan vulnerabilidades en un servidor: -Pruebas de inyección SQL, XSS -Manipulación de campos ocultos -Identificadores de sesión débiles -.... http://www.owasp.org/software/webgoat.html OWASP Webscarab Herramienta multiplataforma (Java) para realizar pruebas de aplicaciones web funcionando como proxy interceptor: -Registra todos los accesos (documentación) -Modificación arbitraria de peticiones y respuestas -Extensible a través de complementos: análisis de identificadores de sesión, pruebas automáticas de parámetros (fuzzer), consultas SOAP http://www.owasp.org/software/webscarab.html Aunque no es la única herramienta de estas características (httpush, paros, spikeproxy...) Página 11
Demo Demo ¿saldrá todo bien? Página 12
Cómo contribuir / Trabajos futuros Contribuir con el proyecto OWASP: El proyecto no sólo está abierto a contribuciones sino que las necesita. Contribuir es sencillo, se puede hacer: -Enviando comentarios sobre las guías y documentación disponibles -Probando las aplicaciones, reportando erratas y extendiéndolas -Patrocinando un proyecto (€€€) Trabajos futuros Los trabajos que quieren desarrollarse a lo largo del próximo año: -Versión 2.1 de OWASP Guide en desarrollo (publicada en papel) -Fase 2 de la OWASP Testing Guide -OWASP Legal – definir la contratación, regulación, y RFPs -Nuevas guías, metodologías y herramientas enfocadas a J2EE y Web Services (.NET está ya cubierto) Y el desarrollo de la fundación OWASP, con el objetivo de dar sostenibilidad al proyecto. Página 13
Otros proyectos Otros proyectos relacionados Existen otros proyectos e iniciativas con cierto solape que merece la pena mencionar: -OASIS Web Application Security (WAS) project, http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=was -OASIS Application Vulnerability Description Language (AVDL), http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=avdl -Web Application Security Consortium (WASC), http://www.webappsec.org/ -Algunos manuales genéricos de pruebas de intrusión, como el Open Source Security Testing Methodology Manual (OSSTMM de ISECOM, http://www.isecom.org/osstmm/) o el, Information Systems Security Assessment Framework (ISSAF de OSSIG, http://www.oissg.org/ ), cuentan con una sección dedicada a las pruebas sobre aplicaciones web No son necesariamente competencia y en algunos casos son complementarios con los trabajos desarrollados dentro de OWASP. Página 14
Referencias de utilidad Algunas referencias ya comentadas: Proyecto OWASP http://www.owasp.org/ Proyecto OWASP en Sourceforge http://sourceforge.net/projects/owasp Y algunas nuevas: Listas de correo: Build Security In Portal owasp-guide@sourceforge https://buildsecurityin.us-cert.gov/portal/ owasp-testing@sourceforge Secure Coding: Principles and Practices owasp-topten@sourceforge http://www.securecoding.org/ owasp-dotnet@sourceforge CGI Security webappsec@securityfocus.com http://www.cgisecurity.net/ pen-test@securityfocus.com WWW Security FAQ http://www.w3.org/Security/Faq/ Secure Programming for UNIX and Linux HOWTO http://www.dwheeler.com/secure-programs/ Página 15
Libros recomendados Libros recomendados: Apache Security, Ivan Ristic, ISBN-0596007248 Core Security Patterns : Best Practices and Strategies for J2EE(TM), Web Services, and Identity Management (Core) , Christopher Steel, Ramesh Nagappan, Ray Lai, ISBN- 0131463071 J2EE Security for Servlets EJBS and Web Services , Pankaj Kumar, ISBN-0131402641 Essential PHP Security, Chris Shiflett, ISBN-059600656X Building Secure Software: How to Avoid Security Problems the Right Way, John Viega, Gary McGraw, 020172152X Secure Coding, Principles and Practices, Mark G. Graff, Kenneth R.Van Wyk, ISBN-0596002424 Exploiting Software, Greg Hoglund, Gary McGraw, ISBN- 0201786958 Security Engineering: A Guide to Building Dependable Distributed Systems, Ross J. Anderson, ISBN-0471389226 Página 16
Fin Gracias por vuestra atención Página 17
¿Preguntas? ¿? Página 18

Recommended

Métricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxMétricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxEduardo Robayo
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Tecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto softwareTecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto softwareJennifer Andrea Cano Guevara
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Gestión de la configuración del software(gcs)
Gestión de la configuración del software(gcs)Gestión de la configuración del software(gcs)
Gestión de la configuración del software(gcs)Jefferson Palacios
 

Recommended

Métricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxMétricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxEduardo Robayo
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Tecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto softwareTecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto softwareJennifer Andrea Cano Guevara
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Gestión de la configuración del software(gcs)
Gestión de la configuración del software(gcs)Gestión de la configuración del software(gcs)
Gestión de la configuración del software(gcs)Jefferson Palacios
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Tema N° 14 Especificación de Requisitos del Software
Tema N° 14 Especificación de Requisitos del SoftwareTema N° 14 Especificación de Requisitos del Software
Tema N° 14 Especificación de Requisitos del SoftwareSaraEAlcntaraR
 
Casos De Uso
Casos De UsoCasos De Uso
Casos De Usoguest2accd2
 
Estimación de Proyectos de Software
Estimación de Proyectos de SoftwareEstimación de Proyectos de Software
Estimación de Proyectos de SoftwareAndrés Felipe Montoya Ríos
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadJosé Antonio Sandoval Acosta
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
Seguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesSeguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesAndres Ne Con
 
5. Métodos de Prueba de Software
5. Métodos de Prueba de Software5. Métodos de Prueba de Software
5. Métodos de Prueba de SoftwareMario A Moreno Rocha
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de softwareHermes Romero
 
Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Presentacion Análisis y diseño de sistemas
Presentacion Análisis y diseño de sistemasPresentacion Análisis y diseño de sistemas
Presentacion Análisis y diseño de sistemasNoelvins Laya
 
Fundamentos de ciberseguridad
Fundamentos de ciberseguridadFundamentos de ciberseguridad
Fundamentos de ciberseguridadChristian Farinango
 
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Micael Gallego
 
Estrategias de Pruebas de Software
Estrategias de Pruebas de SoftwareEstrategias de Pruebas de Software
Estrategias de Pruebas de SoftwareLucia Gasperin
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshareb1cceliagonzalez
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 

More Related Content

What's hot

Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Tema N° 14 Especificación de Requisitos del Software
Tema N° 14 Especificación de Requisitos del SoftwareTema N° 14 Especificación de Requisitos del Software
Tema N° 14 Especificación de Requisitos del SoftwareSaraEAlcntaraR
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
Seguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesSeguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesAndres Ne Con
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Presentacion Análisis y diseño de sistemas
Presentacion Análisis y diseño de sistemasPresentacion Análisis y diseño de sistemas
Presentacion Análisis y diseño de sistemasNoelvins Laya
 
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Micael Gallego
 
Estrategias de Pruebas de Software
Estrategias de Pruebas de SoftwareEstrategias de Pruebas de Software
Estrategias de Pruebas de SoftwareLucia Gasperin
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshareb1cceliagonzalez
 

What's hot (20)

Magerit
MageritMagerit
Magerit
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de software
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Tema N° 14 Especificación de Requisitos del Software
Tema N° 14 Especificación de Requisitos del SoftwareTema N° 14 Especificación de Requisitos del Software
Tema N° 14 Especificación de Requisitos del Software
 
Casos De Uso
Casos De UsoCasos De Uso
Casos De Uso
 
Estimación de Proyectos de Software
Estimación de Proyectos de SoftwareEstimación de Proyectos de Software
Estimación de Proyectos de Software
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
 
Seguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicacionesSeguridad de los sistemas y aplicaciones
Seguridad de los sistemas y aplicaciones
 
5. Métodos de Prueba de Software
5. Métodos de Prueba de Software5. Métodos de Prueba de Software
5. Métodos de Prueba de Software
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Presentacion Análisis y diseño de sistemas
Presentacion Análisis y diseño de sistemasPresentacion Análisis y diseño de sistemas
Presentacion Análisis y diseño de sistemas
 
Fundamentos de ciberseguridad
Fundamentos de ciberseguridadFundamentos de ciberseguridad
Fundamentos de ciberseguridad
 
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
 
Estrategias de Pruebas de Software
Estrategias de Pruebas de SoftwareEstrategias de Pruebas de Software
Estrategias de Pruebas de Software
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshare
 

Viewers also liked

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Proteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlcProteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlcPablo Romanos
 
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...GeneXus
 
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...GeneXus
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pagomarcsegarralopez
 
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...GeneXus
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturasSamis Ambrocio
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013tmd800
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!Matt Tesauro
 
Matematica 10
Matematica 10Matematica 10
Matematica 10casa
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicaspeke dani
 
Matematica 9
Matematica 9Matematica 9
Matematica 9casa
 

Viewers also liked (17)

Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Proteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlcProteccion de datos personales en el ssdlc
Proteccion de datos personales en el ssdlc
 
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
Presentando en sociedad a (QAST) - Quick Assessment Security Tool - Martín Ma...
 
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
¿Qué puede tener en común una aplicación web y una Jeep Cherokee? - Gerardo C...
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
 
Samm owasp
Samm owaspSamm owasp
Samm owasp
 
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
Apoyando la construcción de aplicaciones seguras con K2B Tools - Federico Dom...
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturas
 
Owasp Top10 FireFox
Owasp Top10 FireFoxOwasp Top10 FireFox
Owasp Top10 FireFox
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!
 
Matematica 10
Matematica 10Matematica 10
Matematica 10
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicas
 
Matematica 9
Matematica 9Matematica 9
Matematica 9
 

Similar to OWASP Proyecto Presentación

Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Webeliseo ortiz
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPHerramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPAlvaro Machaca Tola
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españoldavimoryz
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web securityLuis Toscano
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 

Similar to OWASP Proyecto Presentación (20)

Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
 
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Owasp
OwaspOwasp
Owasp
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_español
 
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAPHerramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
 
Owasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - españolOwasp top 10 - 2013 final - español
Owasp top 10 - 2013 final - español
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web security
 
Osum
OsumOsum
Osum
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 

More from Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

More from Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Recently uploaded

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 

Recently uploaded (16)

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 

OWASP Proyecto Presentación

  • 1. OWASP – presentación del proyecto Madrid, diciembre 2005
  • 2. El conferenciante Javier Fernández-Sanguino <jfernandez@germinus.com> Consultor y jefe de proyecto en la división de seguridad IT de Germinus XXI, S.A. Ingeniero de Telecomunicación por la ETSIT-UPM, Miembro de diversos grupos de desarrollo de software libre dentro del proyecto Debian, y de los de diversas herramientas de seguridad, entre otras: Tiger, Nessus, y Bastille. Miembro fundador del grupo español de la Honeynet Alliance Miembro del grupo OWASP Testing Página 1
  • 3. El proyecto OWASP Presentación del Proyecto OWASP -Introducción -Historia -Proyectos OWASP - Orientación y enfoque - Guías y metodologías: OWASP Top 10, OWASP Guide y OWASP Testing Guide - Aplicaciones: WebScarab y Webgoat [DEMO] -Cómo contribuir al proyecto -Otros proyectos relacionados -Referencias útiles Página 2
  • 4. El proyecto OWASP - Introducción ¿Qué es el proyecto OWASP? Una organización independiente dedicada a encontrar y luchar contra las causas del software inseguro. Organizado en proyectos y capítulos locales repartidos por todo el mundo que desarrollan documentación, herramientas y estándares de fuentes abiertas (GPL, GFDL, LGPL). Está abierta a la participación de cualquier persona y patrocinador. Sponsors: Orientación del proyecto Intentar que el mundo produzca mejores programas. Mediante: -El desarrollo de herramientas útiles para identificar los fallos y corregirlos. -La educación de los grupos involucrados, para evitar que se produzcan fallos. -La definición de estándares. -El fomento de la discusión de problemas a través de una comunidad abierta. Página 3
  • 5. Orientación OWASP - Ciclo de desarrollo seguro Diseñar Construir Desplegar Operar Descartar Pruebas de Análisis estático Pruebas de seguridad (herramientas) intrusión Casos de abuso Análisis de Revisión en base al Problemas Requisitos de riesgos externa riesgo Análisis de riesgos de seguridad seguridad Requisitos y Diseño Código Resultados Planes de Análisis de casos de uso de las prueba despliegue pruebas Página 4
  • 6. Orientación OWASP - ¿Por qué? ¿Cuándo arreglar vulnerabilidades? • Es mejor identificar, buscar y arreglar los problemas de seguridad lo antes posible. • Cuanto más tarde se arregle un problema el coste será mayor. • Si se arreglan pronto se evitan también los costes de mantenimiento (parches) Retorno de inversión en el arreglo de vulnerabilidades web 25 21 20 15 15 12 10 5 0 Diseño Implementación Pruebas Fuente: “Tangible ROI through software engineering” SBQ, vol 1, nº 2 Página 5
  • 7. El proyecto OWASP - Historia Septiembre 2001: Arranca el proyecto Abril 2005: Conferencia OWASP Appsec, OWASP Londres Junio 2002: OWASP Guide to Building Secure Julio 2005: OWASP Guide 2.0 (Black Hat) Web Applications (~90 pgs) (~300 pgs) Octubre 2002: VulnXML, WebScarab Octubre 2005: Conferencia OWASP Appsec, Washington DC Enero 2003: OWASP Top Ten, primera versión Estado actual Abril 2003: Codeseeker Nuevos proyectos para el 2005: OWASP Standard, OWASP Legal (contratación, Enero 2004: OWASP Top Ten, Proyectos regulación, RFPs), J2EE y Web Services beta: OWASP Labs (guías, metodologías y herramientas) Junio 2004: Conferencia OWASP Appsec, NY Abril 2004: OWASP PenTest checklist Diciembre 2004: OWASP Testing Guide Febrero 2005: OWASP Top Ten introducido en "Payment Card Industry Data Security Standard“ de VISA Página 6
  • 8. El proyecto OWASP - Proyectos en la actualidad Desarrollo: Documentos y Guías: WebGoat Activo Legal Activo WebScarab Activo Guide Activo DotNet Activo Publicaciones Activo Validation Parado Testing Dudoso oLabs Parado Métricas Parado Miscelánea: AppSec FAQ Parado Capítulos Locales Muy activos Top Ten Parado Internacional Activo ISO17799 Parado Conferencias Activo Página 7
  • 9. OWASP “Top Ten” Vulnerabilidades más frecuentes según OWASP Esta es la lista de problemas que dan lugar a vulnerabilidades de seguridad en el desarrollo web más frecuentes según el proyecto OWASP: • A1 Validación incorrecta de parámetros de entrada. • A2 Errores en el control de acceso. • A3 Errores en la autenticación y gestión de sesiones. • A4 Guiones a través del servidor (XSS). • A5 Sobrecarga de búfer. • A6 Inyección de código. • A7 Gestión inapropiada de los errores. • A8 Almacenamiento no seguro. • A9 Denegación de servicio. • A10 Gestión incorrecta de configuración (de servidores de web y de aplicaciones) Traducido a cinco idiomas. http://www.owasp.org/documentation/topten.html Página 8
  • 10. OWASP Guide OWASP Guide Manual para diseñar, desarrollar y desplegar aplicaciones web, y dirigada a arquitectos de sistemas, programadores, consultores y auditores. Actualmente llega casi a las 300 páginas.Desde el 2002 se han descargado más de dos millones de copias y está ampliamente referenciada en estándares gubernamentales, financieros y corporativos. Trata: Formas canónicas y tratamiento de codificaciones Unicode Arquitecturas web Despliegue y configuración Mecanismos de autenticación Mecanismos de control de acceso Mecanismos de gestión de sesiones Mecanismos de registro y auditoría Validación de datos Problemas de inyección (código, XSS, SQL, XML, LDAP...) Privacidad Criptografía http://www.owasp.org/documentation/guide.html Página 9
  • 11. OWASP Testing Guide OWASP Testing Guide Guía para definir una metodología de pruebas de seguridad en aplicaciones web pero no enfocada a las pruebas de intrusión sino al ámbito del ciclo de vida de desarrollo de software e introduciendo actividades de pruebas como la definición de modelos de riesgo, la revisión de código fuente y las pruebas de intrusión. Documentos producidos hasta la fecha: •OWASP Testing Guide (phase 1) – introducción a la metodología •OWASP Web Application Penetration Checklist – pruebas de intrusión y metodología Information Gathering - Harvest Information on the infrastructure and web environment En desarrollo: segunda fase de la guía de - Harvest Information of the interactive applications and dynamic content generation used Tester - Produce results for start of test pruebas: No Have No Go through each phase to test for individual weaknesses: - Input Validation - Session Manipulation - Logon Process, etc. Have Yes all attack methods all possible tests been exhausted and been executed? investigated? •descripción detallada de vulnerabilidades No Has a No possible vulnerability been detected? (Programming error, configuration • riesgos asociados error or system Did the vulnerability) attack succeed? Yes Yes No Attack target •pruebas y mecanismos para detectarlas directed to exploit Make a risk assessment vulnerability of the vulnerability Yes Yes •caja blanca Can the vulnerability compromise the service? No Is internal information leaked? (Source code fragments implementation information, etc.) Yes •caja negra. Yes Results: - Tested and succeeded vulnerabilities - Detailed impact and consequences Generate an Yes Is the of vulnerabilities in web service alert and information business contact the critical? Organization No http://www.owasp.org/documentation/testing.html Página 10
  • 12. OWASP - WebGoat y WebScarab OWASP WebGoat Aplicación J2EE basada en Tomcat desarrollada para enseñar los problemas de aplicaciones web a través de lecciones en las que se simulan vulnerabilidades en un servidor: -Pruebas de inyección SQL, XSS -Manipulación de campos ocultos -Identificadores de sesión débiles -.... http://www.owasp.org/software/webgoat.html OWASP Webscarab Herramienta multiplataforma (Java) para realizar pruebas de aplicaciones web funcionando como proxy interceptor: -Registra todos los accesos (documentación) -Modificación arbitraria de peticiones y respuestas -Extensible a través de complementos: análisis de identificadores de sesión, pruebas automáticas de parámetros (fuzzer), consultas SOAP http://www.owasp.org/software/webscarab.html Aunque no es la única herramienta de estas características (httpush, paros, spikeproxy...) Página 11
  • 13. Demo Demo ¿saldrá todo bien? Página 12
  • 14. Cómo contribuir / Trabajos futuros Contribuir con el proyecto OWASP: El proyecto no sólo está abierto a contribuciones sino que las necesita. Contribuir es sencillo, se puede hacer: -Enviando comentarios sobre las guías y documentación disponibles -Probando las aplicaciones, reportando erratas y extendiéndolas -Patrocinando un proyecto (€€€) Trabajos futuros Los trabajos que quieren desarrollarse a lo largo del próximo año: -Versión 2.1 de OWASP Guide en desarrollo (publicada en papel) -Fase 2 de la OWASP Testing Guide -OWASP Legal – definir la contratación, regulación, y RFPs -Nuevas guías, metodologías y herramientas enfocadas a J2EE y Web Services (.NET está ya cubierto) Y el desarrollo de la fundación OWASP, con el objetivo de dar sostenibilidad al proyecto. Página 13
  • 15. Otros proyectos Otros proyectos relacionados Existen otros proyectos e iniciativas con cierto solape que merece la pena mencionar: -OASIS Web Application Security (WAS) project, http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=was -OASIS Application Vulnerability Description Language (AVDL), http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=avdl -Web Application Security Consortium (WASC), http://www.webappsec.org/ -Algunos manuales genéricos de pruebas de intrusión, como el Open Source Security Testing Methodology Manual (OSSTMM de ISECOM, http://www.isecom.org/osstmm/) o el, Information Systems Security Assessment Framework (ISSAF de OSSIG, http://www.oissg.org/ ), cuentan con una sección dedicada a las pruebas sobre aplicaciones web No son necesariamente competencia y en algunos casos son complementarios con los trabajos desarrollados dentro de OWASP. Página 14
  • 16. Referencias de utilidad Algunas referencias ya comentadas: Proyecto OWASP http://www.owasp.org/ Proyecto OWASP en Sourceforge http://sourceforge.net/projects/owasp Y algunas nuevas: Listas de correo: Build Security In Portal owasp-guide@sourceforge https://buildsecurityin.us-cert.gov/portal/ owasp-testing@sourceforge Secure Coding: Principles and Practices owasp-topten@sourceforge http://www.securecoding.org/ owasp-dotnet@sourceforge CGI Security webappsec@securityfocus.com http://www.cgisecurity.net/ pen-test@securityfocus.com WWW Security FAQ http://www.w3.org/Security/Faq/ Secure Programming for UNIX and Linux HOWTO http://www.dwheeler.com/secure-programs/ Página 15
  • 17. Libros recomendados Libros recomendados: Apache Security, Ivan Ristic, ISBN-0596007248 Core Security Patterns : Best Practices and Strategies for J2EE(TM), Web Services, and Identity Management (Core) , Christopher Steel, Ramesh Nagappan, Ray Lai, ISBN- 0131463071 J2EE Security for Servlets EJBS and Web Services , Pankaj Kumar, ISBN-0131402641 Essential PHP Security, Chris Shiflett, ISBN-059600656X Building Secure Software: How to Avoid Security Problems the Right Way, John Viega, Gary McGraw, 020172152X Secure Coding, Principles and Practices, Mark G. Graff, Kenneth R.Van Wyk, ISBN-0596002424 Exploiting Software, Greg Hoglund, Gary McGraw, ISBN- 0201786958 Security Engineering: A Guide to Building Dependable Distributed Systems, Ross J. Anderson, ISBN-0471389226 Página 16
  • 18. Fin Gracias por vuestra atención Página 17
  • 19. ¿Preguntas? ¿? Página 18