Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Argentesting 2017 - Proyecto OWASP Top 10

976 views

Published on

Proyecto Top 10 de OWASP

La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.

Expositor: Juan Pablo Soto

Published in: Software
  • Be the first to comment

  • Be the first to like this

Argentesting 2017 - Proyecto OWASP Top 10

  1. 1. Proyecto Top Ten de OWASP ju4np4blo.soto@gmail.com Juan Pablo Soto Analista de Seguridad Informática https://www.linkedin.com/in/juanpablosoto26/
  2. 2. AGENDA: La Web. Seguridad informática en la Web. OWASP? OWASP Top Ten. Recomendaciones. Créditos.
  3. 3. LA WEB
  4. 4. Un poco de Historia En 1991 se publica la primera página web creada por Tim Berners-Lee usando un computador NeXT. Hablaba sobre el emergente y emocionante mundo del World Wide Web.
  5. 5. Evolución
  6. 6. Seguridad informática en la Web
  7. 7. Confidencialidad IntegridadDisponibilidad
  8. 8. OWASP?
  9. 9. Open Web Application Security Project Proyecto abierto de seguridad en aplicaciones Web Comunidad abierta! AP confiables Herramientas gratuitas
  10. 10. Licencia 3.0 de Creative Commons AGribution ShareAlike
  11. 11. http://www.owasp.org/
  12. 12. Por quién está formada? Comunidad OWASP Empresas Particulares Comunidad Educativas
  13. 13. Para quién? Desarrolladores Testers de Software Especialistas de Seguridad
  14. 14. Objetivo? Crear herramientas, documentación y estándares relacionados con la seguridad en aplicaciones
  15. 15. Principios de Seguridad OWASP • Seguridad multicapa. Defensa en profundidad • Positivo. • Negativo. Modo de seguridad positivo y negativo • Estar preparado para controlar las fallas.Fallo seguro • Otorgar privilegios estrictamente necesarios. Ejecución bajo el privilegio mínimo
  16. 16. • No confiar en los acuerdos de confidencialidad. Evitar la seguridad por medio de la ocultación • Hacer aplicaciones simples. Cuanto más complicada más insegura. Simplicidad • Registro de actividades en bitácoras. • Revisión periódica. • Procedimiento para manejar intrusiones. Detección de intrusos • No confiar en el hardware y el software pre-diseñado. • Implementando todos los controles de seguridad que sean pertinentes. No confiar plenamente en elementos ajenos a la aplicación
  17. 17. SDLC - Secure Software Development Life Cycle Análisis Diseño Implementación Testing Evaluación
  18. 18. Flujo de trabajo OWASP Pre desarrollo Diseño y definición Desarrollo Implementación Mantenimiento
  19. 19. Proyectos Los proyectos OWASP se dividen en dos categorías principales: • Guía de desarrollo • OWASP Top Ten • Proyecto legal • Guía de pruebas • Etc. Desarrollo • WebGoat • WebScarab • Etc. Documentación
  20. 20. Ya sabemos acerca de OWASP
  21. 21. TOP TEN PROJECT
  22. 22. Proyecto Top Ten 1 • Los diez riesgos de seguridad más importantes en aplicaciones WEB 2 • Crear conciencia acerca de la seguridad WEB 3 • Técnicas de protección
  23. 23. Historia:
  24. 24. Riesgos de seguridad en aplicaciones?
  25. 25. OWASP Top 10 - 2013 A1. Inyección A2. Pérdida de autenticación y Gestión de sesiones A3. Secuencia de comandos en sitios cruzados (XSS) A4. Referencia directa insegura a objetos A5. Configuración de seguridad incorrecta A6. Exposición de datos sensibles A7. Ausencia de control de acceso a funciones A8. Falsificación de peticiones en sitios cruzados A9. Utilización de componentes con vulnerabilidades conocidas A10. Redirecciones y reenvíos no validados
  26. 26. Cuadro de riegos en el Top 10.
  27. 27. A1. Inyección SQL Injection Blind
  28. 28. Datos no confiables Comandos y consultas A1. Cómo prevenirlo? API segura OWASP ESAPI Entradas codificadas y convertidas
  29. 29. A2. Pérdida de autenticación y Gestión de sesiones
  30. 30. A2. Cómo prevenirlo? WebScarab
  31. 31. A3. Secuencia de comandos en sitios cruzados (XSS) Persistente y Reflejado
  32. 32. A3. Cómo prevenirlo? Codificar Datos Lista BlancaEntradas AntiSamy OWASP
  33. 33. A4. Referencia directa insegura a objetos
  34. 34. Desarrollador Fichero Directorio DB Clave URL Exposición A4.
  35. 35. A4. Cómo prevenirlo? objetos No exponer Validar referencias Verificar autorización
  36. 36. A5. Configuración de seguridad incorrecta
  37. 37. Mala configuración APP Servidor DB S.O A5. Vigilar Actualizaciones Puertos Servicios Páginas Cambio de Contraseñas Etc.
  38. 38. A5. Cómo prevenirlo? Realizar Actualizaciones Parches Arquitectura fuerte Escaneos Auditorias Entorno asegurado
  39. 39. A6. Exposición de datos sensibles
  40. 40. A6. Cómo prevenirlo? Amenazas internas o externas No almacenar datos sensibles innecesarios Cifrado de datos Claves fuertes No caché en páginas
  41. 41. A7. Ausencia de control de acceso a funciones
  42. 42. A7.
  43. 43. A7. Cómo prevenirlo? Módulo de autorización Auditorias Actualizaciones Acceso restringido
  44. 44. A8. Falsificación de peticiones en sitios cruzados (CSRF)
  45. 45. A8.
  46. 46. A8. Cómo prevenirlo? Token Secreto Capcha Codificar entradas
  47. 47. A9. Utilización de componentes con vulnerabilidades conocidas
  48. 48. A9. Framework
  49. 49. A9. Cómo prevenirlo? Componentes versión DB públicas Listas de correos Mejores prácticas en desarrollo Capas de seguridad en componentes
  50. 50. A10. Redirecciones y reenvíos no validados
  51. 51. 10. Cómo prevenirlo? Evitar reenvíos No involucrar parámetros manipulables Parámetros de destino autorizados OWASP ESAPI Utilizar un valor de mapeo
  52. 52. Recomendaciones:
  53. 53. Para los desarrolladores: •OWASP recomienda usar Estándar de Verificación de Seguridad en Aplicaciones (ASVS) OWASP como una guía para ajustar los requisitos de seguridad Requisitos de seguridad en aplicaciones •OWASP recomienda la Guía de Desarrollo OWASP, y las hojas de prevención de trampas OWASP Arquitectura de seguridad en aplicaciones •OWASP recomienda el proyecto Enterprise Security API (ESAPI) Controles de seguridad estándar •OWASP recomienda el Modelo de Garantía de la Madurez del Software OWASP Software Assurance Maturity Model (SAMM). Ciclo de vida de desarrollo seguro •Para una formación práctica acerca de vulnerabilidades, pruebe los proyectos OWASP WebGoat, WebGoat.net, o el OWASP Broken Web Application Project. Educación de seguridad en aplicaciones
  54. 54. Para los testers: Revisar el código de la aplicación (si está disponible), y también evaluar la aplicación OWASP ha producido los estándares de verificación (ASVS) de seguridad en aplicaciones. OWASP Live CD Project
  55. 55. Revisión de código Revisión de código Herramientas de revisión de código Pruebas de seguridad e intrusión Test de aplicación Herramientas de Intrusión de Aplicación
  56. 56. Para las organizaciones: • Programa de seguridad, áreas de mejora y un plan de ejecución, campaña de concienciación de seguridad. Comience • Prioridades de aplicaciones en base a al riesgo , modelo de perfilado de riesgo de las aplicaciones, modelo de calificación de riesgo común. Enfoque basado en el catálogo de riesgos • Políticas y estándares que proporcionen seguridad, controles de seguridad reutilizables común, perfil de formación en seguridad en app. Cuente con una base sólida • Actividades de implementación de seguridad, proporcionar expertos en la materia y apoyo a los equipos de desarrollo y de proyecto. Integre la seguridad en los procesos existentes • Gestionar a través de métricas. Analizar los datos de las actividades de implementación y verificación. Proporcione una visión de gestión
  57. 57. La Seguridad total no existe!La Seguridad no es un producto, es una sumatoria de personas, procesos y tecnología. Suele ser más costoso aplicar la seguridad informática al final y no durante el proceso.
  58. 58. Créditos: https://www.owasp.org/ https://www.owasp.org/index.php/ASVS https://www.owasp.org/index.php/ESAPI https://www.owasp.org/index.php/Top_10 https://www.owasp.org/index.php/OWASP_Broken_Web_Applic ations_Project https://www.owasp.org/index.php/OWASP_Guide_Project https://www.owasp.org/index.php/Category:OWASP_Live_CD_P roject
  59. 59. Gracias por la atención prestada! Cualquier duda consulten
  60. 60. Muchas gracias! ju4np4blo.soto@gmail.com Juan Pablo Soto Analista de Seguridad Informática https://www.linkedin.com/in/juanpablosoto26/

×