![Proyectos de OWASP
142 proyectos, a lo largo del mundo
OWASP Code Review
OWASP DNIe
OWASP Google Hacking
OWASP SQLiBench
OWASP Testing guide [!]
OWASP Top Ten
OWASP WebScarab
OWASP WebSlayer
OWASP Zed Attack Proxy
...
Ezequiel V´zquez De la calle
a
Hacking web con OWASP](https://image.slidesharecdn.com/betabeerssvq-hackingwebconowasp-131018020049-phpapp02/85/Betabeers-Sevilla-Hacking-web-con-OWASP-9-320.jpg)
![OWASP Testing Guide
Etapas
3
Durante el desarrollo
Revisar el c´digo junto con los desarrolladores
o
4
Durante el despliegue
Realizar test de penetraci´n [!]
o
Analizar la gesti´n de la configuraci´n
o
o
5
Durante el mantenimiento
Revisar la gesti´n de operaciones
o
Pruebas peri´dicas del estado de salud
o
Asegurar la verificaci´n de cambios
o
Ezequiel V´zquez De la calle
a
Hacking web con OWASP](https://image.slidesharecdn.com/betabeerssvq-hackingwebconowasp-131018020049-phpapp02/85/Betabeers-Sevilla-Hacking-web-con-OWASP-13-320.jpg)
![Esto es todo, amigos...
¡Gracias!
¿Preguntas?
@RabbitLair
ezequielvazq[at]gmail[dot]com
Ezequiel V´zquez De la calle
a
Hacking web con OWASP](https://image.slidesharecdn.com/betabeerssvq-hackingwebconowasp-131018020049-phpapp02/85/Betabeers-Sevilla-Hacking-web-con-OWASP-35-320.jpg)
Betabeers Sevilla - Hacking web con OWASP
- 1. Hacking web con OWASP Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Hacking web con OWASP
- 2. Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Hacking web con OWASP
- 3. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
- 4. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
- 5. Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Hacking web con OWASP
- 6. OWASP Open Web Application Security Project Fundaci´n sin ´nimo de lucro o a Multitud de proyectos: algo ca´tico o Colaboraci´n a nivel mundial, grupos locales o Metodolog´ de an´lisis de seguridad web ıa a Ezequiel V´zquez De la calle a Hacking web con OWASP
- 7. OWASP M´s de 36000 colaboradores a Conferencias por todo el mundo, durante todo el a˜o n En Espa˜a: Asociaci´n de profesionales n o Libros, merchandising, etc. Ezequiel V´zquez De la calle a Hacking web con OWASP
- 8. Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´zquez De la calle a Hacking web con OWASP
- 9. Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy ... Ezequiel V´zquez De la calle a Hacking web con OWASP
- 10. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
- 11. OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´lo pentesting! o Disponible como libro, PDF y wiki Ezequiel V´zquez De la calle a Hacking web con OWASP
- 12. OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ ıticas, est´ndares, etc. a Definir m´tricas y criterios de evaluaci´n e o 2 Durante la definici´n y el dise˜o o n Revisar requisitos de seguridad Revisar dise˜o y arquitectura n Crear y revisar modelos de amenazas Ezequiel V´zquez De la calle a Hacking web con OWASP
- 13. OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´digo junto con los desarrolladores o 4 Durante el despliegue Realizar test de penetraci´n [!] o Analizar la gesti´n de la configuraci´n o o 5 Durante el mantenimiento Revisar la gesti´n de operaciones o Pruebas peri´dicas del estado de salud o Asegurar la verificaci´n de cambios o Ezequiel V´zquez De la calle a Hacking web con OWASP
- 14. OWASP Testing Guide Ezequiel V´zquez De la calle a Hacking web con OWASP
- 15. Pentesting con OWASP Adquisici´n de informaci´n o o An´lisis de fuentes p´blicas sobre el sitio web a u An´lisis de la ayuda del propio sitio a Uso de spiders, robots y crawlers (puntos de entrada) An´lisis de metadatos de los ficheros descargables (FOCA) a Ezequiel V´zquez De la calle a Hacking web con OWASP
- 16. Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´n de operadores avanzados del buscador. o site: Limitar la b´squeda a un unico dominio u ´ cache: Buscar en la cach´ de Google e inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´n indicada o Ezequiel V´zquez De la calle a Hacking web con OWASP
- 17. Pentesting con OWASP Revisi´n de la configuraci´n o o Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´n a BBDD (Conexiones remotas) o Sistema operativo del servidor Configuraci´n del servidor web (Versi´n vulnerable) o o M´todos HTTP permitidos por el servidor (PUT, DELETE) e Ezequiel V´zquez De la calle a Hacking web con OWASP
- 18. Pentesting con OWASP An´lisis de autenticaci´n a o Enumeraci´n de usuarios (M´dulo Views de Drupal) o o Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´n (SQLi) o Contrase˜as suprayectivas n Ezequiel V´zquez De la calle a Hacking web con OWASP
- 19. Pentesting con OWASP An´lisis de la gesti´n de la sesi´n a o o Exposici´n de variables de sesi´n o o Cookies no cifradas (modificaci´n de atributos) o Cross Site Request Forgery Ezequiel V´zquez De la calle a Hacking web con OWASP
- 20. Pentesting con OWASP An´lisis de autorizaci´n y l´gica de negocio a o o Acceso a ficheros Escalado de privilegios Fallos en la l´gica de la aplicaci´n o o An´lisis de mensajes de error a Ezequiel V´zquez De la calle a Hacking web con OWASP
- 21. Pentesting con OWASP Validaci´n de datos de entrada y salida o Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´zquez De la calle a Hacking web con OWASP
- 22. Pentesting con OWASP Denegaci´n de servicio o No liberaci´n de recursos o Almacenamiento de demasiada informaci´n en la sesi´n o o Bloqueo de usuarios Entrada de usuario en un bucle Gesti´n de peticiones repetitivas (LOIC) o Ezequiel V´zquez De la calle a Hacking web con OWASP
- 23. ¿Y c´mo protejo mi web? o Buenas pr´cticas a Auditor´ de seguridad ıas peri´dicas o Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´ fallos de seguridad a Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´zquez De la calle a Hacking web con OWASP
- 24. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
- 25. OWASP Top Ten Lista de vulnerabilidades m´s comunes a Publicada cada tres a˜os n Cuarta versi´n en 2013 o ”Meter el miedo en el cuerpo” ´ Util como referencia r´pida a Ezequiel V´zquez De la calle a Hacking web con OWASP
- 26. OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´zquez De la calle a Hacking web con OWASP
- 27. Nikto2 Esc´ner de vulnerabilidades a web C´digo abierto (GPL) o Comprueba versiones desactualizadas, m´todos e HTTP, etc. No est´ dise˜ado como a n herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´zquez De la calle a Hacking web con OWASP
- 28. SQLMap Automatiza la detecci´n y o explotaci´n de vulnerabilidades o SQLinjection C´digo abierto (GPL) o Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´zquez De la calle a Hacking web con OWASP
- 29. OWASP Xenotix Framework de detecci´n y explotaci´n de XSS o o Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´zquez De la calle a Hacking web con OWASP
- 30. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
- 31. Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´n con resultados obtenidos o Un buen an´lisis debe intentar cubrir el m´ximo de la a a superficie de ataque Ahorro o p´rdida de dinero, reputaci´n, etc. e o La importancia de la formaci´n o Ezequiel V´zquez De la calle a Hacking web con OWASP
- 32. Conclusiones Ezequiel V´zquez De la calle a Hacking web con OWASP
- 33. ´ Indice 1 Introducci´n o 2 OWASP Testing Guide 3 Miscel´nea a 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Hacking web con OWASP
- 34. Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Blog Flu Project http://www.flu-project.com Blog Seguridad para Todos http://www.seguridadparatodos.com Una al d´ ıa http://unaaldia.hispasec.com Ezequiel V´zquez De la calle a Hacking web con OWASP
- 35. Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Hacking web con OWASP