SlideShare uma empresa Scribd logo

Hacking web con OWASP

Z
zekivazquez

Diapositivas de la charla "Hacking web con OWASP", que di en el Betabeers Cádiz (@betabeerscdz), el viernes 20 de septiembre de 2013.

Tecnologia
1 de 35
Baixar para ler offline
Hacking web con OWASP Ezequiel V´azquez De la calle Ezequiel V´azquez De la calle Hacking web con OWASP
Sobre mi Estudios Ingeniero T´ecnico en Inform´atica - UCA M´aster en Ingenier´ıa del Software - US Experto en Seguridad de las TIC - US Experiencia 3+ a˜nos como desarrollador web Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´astica, rol, cine. . . Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
Seguridad ¿Y esto de qu´e va? Seguridad web Exposici´on a internet Vulnerabilidades Explotaci´on ¿Hackers? . . . Dinero Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Open Web Application Security Project Fundaci´on sin ´animo de lucro Multitud de proyectos: algo ca´otico Colaboraci´on a nivel mundial, grupos locales Metodolog´ıa de an´alisis de seguridad web Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP M´as de 36000 colaboradores Conferencias por todo el mundo, durante todo el a˜no En Espa˜na: Asociaci´on de profesionales Libros, merchandising, etc. Ezequiel V´azquez De la calle Hacking web con OWASP
Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´azquez De la calle Hacking web con OWASP
Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy . . . Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´olo pentesting! Disponible como libro, PDF y wiki Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ıticas, est´andares, etc. Definir m´etricas y criterios de evaluaci´on 2 Durante la definici´on y el dise˜no Revisar requisitos de seguridad Revisar dise˜no y arquitectura Crear y revisar modelos de amenazas Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´odigo junto con los desarrolladores 4 Durante el despliegue Realizar test de penetraci´on [!] Analizar la gesti´on de la configuraci´on 5 Durante el mantenimiento Revisar la gesti´on de operaciones Pruebas peri´odicas del estado de salud Asegurar la verificaci´on de cambios Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Testing Guide Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP Adquisici´on de informaci´on An´alisis de fuentes p´ublicas sobre el sitio web An´alisis de la ayuda del propio sitio Uso de spiders, robots y crawlers (puntos de entrada) An´alisis de metadatos de los ficheros descargables Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´on de operadores avanzados del buscador. site: Limitar la b´usqueda a un ´unico dominio cache: Buscar en la cach´e de Google inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´on indicada Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP Revisi´on de la configuraci´on Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´on a BBDD (Conexiones remotas) Sistema operativo del servidor Configuraci´on del servidor web (Versi´on vulnerable) M´etodos HTTP permitidos por el servidor (PUT, DELETE) Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP An´alisis de autenticaci´on Enumeraci´on de usuarios (M´odulo Views de Drupal) Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´on (SQLi) Contrase˜nas suprayectivas Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP An´alisis de la gesti´on de la sesi´on Exposici´on de variables de sesi´on Cookies no cifradas (modificaci´on de atributos) Cross Site Request Forgery Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP An´alisis de autorizaci´on y l´ogica de negocio Acceso a ficheros Escalado de privilegios Fallos en la l´ogica de la aplicaci´on An´alisis de mensajes de error Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP Validaci´on de datos de entrada y salida Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´azquez De la calle Hacking web con OWASP
Pentesting con OWASP Denegaci´on de servicio No liberaci´on de recursos Almacenamiento de demasiada informaci´on en la sesi´on Bloqueo de usuarios Entrada de usuario en un bucle Gesti´on de peticiones repetitivas (LOIC) Ezequiel V´azquez De la calle Hacking web con OWASP
¿Y c´omo protejo mi web? Buenas pr´acticas Auditor´ıas de seguridad peri´odicas Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´a fallos de seguridad Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Top Ten Lista de vulnerabilidades m´as comunes Publicada cada tres a˜nos Cuarta versi´on en 2013 ”Meter el miedo en el cuerpo” ´Util como referencia r´apida Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´azquez De la calle Hacking web con OWASP
Nikto2 Esc´aner de vulnerabilidades web C´odigo abierto (GPL) Comprueba versiones desactualizadas, m´etodos HTTP, etc. No est´a dise˜nado como herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´azquez De la calle Hacking web con OWASP
SQLMap Automatiza la detecci´on y explotaci´on de vulnerabilidades SQLinjection C´odigo abierto (GPL) Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´azquez De la calle Hacking web con OWASP
OWASP Xenotix Framework de detecci´on y explotaci´on de XSS Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´on con resultados obtenidos Un buen an´alisis debe intentar cubrir el m´aximo de la superficie de ataque Ahorro o p´erdida de dinero, reputaci´on, etc. La importancia de la formaci´on Ezequiel V´azquez De la calle Hacking web con OWASP
Conclusiones Ezequiel V´azquez De la calle Hacking web con OWASP
´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Top ten web hacking techniques (2012) https://www.whitehatsec.com/resource/grossmanarchives/ 12grossmanarchives/120612toptenwebhack.html Burp Suite http://portswigger.net/burp Ezequiel V´azquez De la calle Hacking web con OWASP
Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´azquez De la calle Hacking web con OWASP

Recomendados

Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 

Recomendados

Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Ada #6
Ada #6Ada #6
Ada #6Braulio Argaez
 
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressDaniel Garcia (a.k.a cr0hn)
 
Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Jaime Restrepo
 

Mais conteúdo relacionado

Mais procurados

Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017yopablo
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Alonso Caballero
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones WebGabriel Arellano
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 

Mais procurados (20)

Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Web
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Owasp top 10 2017
Owasp top 10 2017Owasp top 10 2017
Owasp top 10 2017
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
 
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
Webinar Gratuito: "Escanear Vulnerabilidades Web con Zed Attack Proxy"
 
Seguridad de Aplicaciones Web
Seguridad de Aplicaciones WebSeguridad de Aplicaciones Web
Seguridad de Aplicaciones Web
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Ada #6
Ada #6Ada #6
Ada #6
 

Destaque

III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressDaniel Garcia (a.k.a cr0hn)
 
Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Jaime Restrepo
 
Reto forense campus party 2011
Reto forense campus party 2011Reto forense campus party 2011
Reto forense campus party 2011Jaime Restrepo
 
OWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolOWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolInternet Security Auditors
 
Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011Jaime Restrepo
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pagomarcsegarralopez
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturasSamis Ambrocio
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013tmd800
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!Matt Tesauro
 
Matematica 10
Matematica 10Matematica 10
Matematica 10casa
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicaspeke dani
 
Matematica 9
Matematica 9Matematica 9
Matematica 9casa
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 

Destaque (15)

III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
 
Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011Resultados reto forense ekoparty 2011
Resultados reto forense ekoparty 2011
 
Reto forense campus party 2011
Reto forense campus party 2011Reto forense campus party 2011
Reto forense campus party 2011
 
OWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo EspañolOWASP Foundation y los objetivos del Capítulo Español
OWASP Foundation y los objetivos del Capítulo Español
 
Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011Resultados Reto Forense Campus Party 2011
Resultados Reto Forense Campus Party 2011
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
 
Samm owasp
Samm owaspSamm owasp
Samm owasp
 
Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturas
 
Owasp Top10 FireFox
Owasp Top10 FireFoxOwasp Top10 FireFox
Owasp Top10 FireFox
 
OWASP top 10-2013
OWASP top 10-2013OWASP top 10-2013
OWASP top 10-2013
 
OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!OWASP WTE - Now in the Cloud!
OWASP WTE - Now in the Cloud!
 
Matematica 10
Matematica 10Matematica 10
Matematica 10
 
8° 9° 10° matematicas
8° 9° 10° matematicas8° 9° 10° matematicas
8° 9° 10° matematicas
 
Matematica 9
Matematica 9Matematica 9
Matematica 9
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 

Semelhante a Hacking web con OWASP

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupalzekivazquez
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 

Semelhante a Hacking web con OWASP (20)

Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupal
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVAS
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"
 

Mais de zekivazquez

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilitieszekivazquez
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadeszekivazquez
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMSzekivazquez
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beingszekivazquez
 
Information is Power
Information is PowerInformation is Power
Information is Powerzekivazquez
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harleyzekivazquez
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todoszekivazquez
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scalingzekivazquez
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scalingzekivazquez
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCAzekivazquez
 

Mais de zekivazquez (10)

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMS
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
 
Information is Power
Information is PowerInformation is Power
Information is Power
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
 

Último

Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 

Último (20)

Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 

Hacking web con OWASP

  • 1. Hacking web con OWASP Ezequiel V´azquez De la calle Ezequiel V´azquez De la calle Hacking web con OWASP
  • 2. Sobre mi Estudios Ingeniero T´ecnico en Inform´atica - UCA M´aster en Ingenier´ıa del Software - US Experto en Seguridad de las TIC - US Experiencia 3+ a˜nos como desarrollador web Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarrista) y videojuegos Narrativa fant´astica, rol, cine. . . Ezequiel V´azquez De la calle Hacking web con OWASP
  • 3. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 4. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 5. Seguridad ¿Y esto de qu´e va? Seguridad web Exposici´on a internet Vulnerabilidades Explotaci´on ¿Hackers? . . . Dinero Ezequiel V´azquez De la calle Hacking web con OWASP
  • 6. OWASP Open Web Application Security Project Fundaci´on sin ´animo de lucro Multitud de proyectos: algo ca´otico Colaboraci´on a nivel mundial, grupos locales Metodolog´ıa de an´alisis de seguridad web Ezequiel V´azquez De la calle Hacking web con OWASP
  • 7. OWASP M´as de 36000 colaboradores Conferencias por todo el mundo, durante todo el a˜no En Espa˜na: Asociaci´on de profesionales Libros, merchandising, etc. Ezequiel V´azquez De la calle Hacking web con OWASP
  • 8. Proyectos de OWASP https://www.owasp.org/index.php/Category:OWASP Project Ezequiel V´azquez De la calle Hacking web con OWASP
  • 9. Proyectos de OWASP 142 proyectos, a lo largo del mundo OWASP Code Review OWASP DNIe OWASP Google Hacking OWASP SQLiBench OWASP Testing guide [!] OWASP Top Ten OWASP WebScarab OWASP WebSlayer OWASP Zed Attack Proxy . . . Ezequiel V´azquez De la calle Hacking web con OWASP
  • 10. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 11. OWASP Testing Guide Consideraciones previas Enfoque de caja negra, pero incluye pruebas de todo tipo Divide las pruebas en fases asociadas al ciclo de vida ¡No s´olo pentesting! Disponible como libro, PDF y wiki Ezequiel V´azquez De la calle Hacking web con OWASP
  • 12. OWASP Testing Guide Etapas 1 Antes del desarrollo Revisar pol´ıticas, est´andares, etc. Definir m´etricas y criterios de evaluaci´on 2 Durante la definici´on y el dise˜no Revisar requisitos de seguridad Revisar dise˜no y arquitectura Crear y revisar modelos de amenazas Ezequiel V´azquez De la calle Hacking web con OWASP
  • 13. OWASP Testing Guide Etapas 3 Durante el desarrollo Revisar el c´odigo junto con los desarrolladores 4 Durante el despliegue Realizar test de penetraci´on [!] Analizar la gesti´on de la configuraci´on 5 Durante el mantenimiento Revisar la gesti´on de operaciones Pruebas peri´odicas del estado de salud Asegurar la verificaci´on de cambios Ezequiel V´azquez De la calle Hacking web con OWASP
  • 14. OWASP Testing Guide Ezequiel V´azquez De la calle Hacking web con OWASP
  • 15. Pentesting con OWASP Adquisici´on de informaci´on An´alisis de fuentes p´ublicas sobre el sitio web An´alisis de la ayuda del propio sitio Uso de spiders, robots y crawlers (puntos de entrada) An´alisis de metadatos de los ficheros descargables Ezequiel V´azquez De la calle Hacking web con OWASP
  • 16. Pentesting con OWASP Google (Bing y Shodan) Hacking Utilizaci´on de operadores avanzados del buscador. site: Limitar la b´usqueda a un ´unico dominio cache: Buscar en la cach´e de Google inurl: Resultados que contienen un valor en la URL ext:, filetype: Buscar ficheros con la extensi´on indicada Ezequiel V´azquez De la calle Hacking web con OWASP
  • 17. Pentesting con OWASP Revisi´on de la configuraci´on Uso de SSL (Man In The Middle y SSLStrip a un cliente) Conexi´on a BBDD (Conexiones remotas) Sistema operativo del servidor Configuraci´on del servidor web (Versi´on vulnerable) M´etodos HTTP permitidos por el servidor (PUT, DELETE) Ezequiel V´azquez De la calle Hacking web con OWASP
  • 18. Pentesting con OWASP An´alisis de autenticaci´on Enumeraci´on de usuarios (M´odulo Views de Drupal) Ataque de fuerza bruta o diccionario Bypass del sistema de autenticaci´on (SQLi) Contrase˜nas suprayectivas Ezequiel V´azquez De la calle Hacking web con OWASP
  • 19. Pentesting con OWASP An´alisis de la gesti´on de la sesi´on Exposici´on de variables de sesi´on Cookies no cifradas (modificaci´on de atributos) Cross Site Request Forgery Ezequiel V´azquez De la calle Hacking web con OWASP
  • 20. Pentesting con OWASP An´alisis de autorizaci´on y l´ogica de negocio Acceso a ficheros Escalado de privilegios Fallos en la l´ogica de la aplicaci´on An´alisis de mensajes de error Ezequiel V´azquez De la calle Hacking web con OWASP
  • 21. Pentesting con OWASP Validaci´on de datos de entrada y salida Cross Site Scripting (XSS) Inyecciones (SQL, LDAP, XML, comandos del sistema, etc.) Buffer overflow Fuzzing (entrada aleatoria, y/o excesivamente grande) Ezequiel V´azquez De la calle Hacking web con OWASP
  • 22. Pentesting con OWASP Denegaci´on de servicio No liberaci´on de recursos Almacenamiento de demasiada informaci´on en la sesi´on Bloqueo de usuarios Entrada de usuario en un bucle Gesti´on de peticiones repetitivas (LOIC) Ezequiel V´azquez De la calle Hacking web con OWASP
  • 23. ¿Y c´omo protejo mi web? Buenas pr´acticas Auditor´ıas de seguridad peri´odicas Integrar la seguridad en el desarrollo desde el inicio Asumir que siempre habr´a fallos de seguridad Si alguien va a por ti. . . (APT) Encontrar el equilibrio Ezequiel V´azquez De la calle Hacking web con OWASP
  • 24. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 25. OWASP Top Ten Lista de vulnerabilidades m´as comunes Publicada cada tres a˜nos Cuarta versi´on en 2013 ”Meter el miedo en el cuerpo” ´Util como referencia r´apida Ezequiel V´azquez De la calle Hacking web con OWASP
  • 26. OWASP ZAP Proxy que intercepta peticiones y respuestas Permite modificar el contenido de ambas Detecta posibles superficies de ataque Ezequiel V´azquez De la calle Hacking web con OWASP
  • 27. Nikto2 Esc´aner de vulnerabilidades web C´odigo abierto (GPL) Comprueba versiones desactualizadas, m´etodos HTTP, etc. No est´a dise˜nado como herramienta stealth http://www.cirt.net/nikto2 Ezequiel V´azquez De la calle Hacking web con OWASP
  • 28. SQLMap Automatiza la detecci´on y explotaci´on de vulnerabilidades SQLinjection C´odigo abierto (GPL) Soporta muchos motores (MySQL, Oracle, PostgreSQL, MS SQL Server... ¡hasta Access!) http://sqlmap.org/ Ezequiel V´azquez De la calle Hacking web con OWASP
  • 29. OWASP Xenotix Framework de detecci´on y explotaci´on de XSS Analiza IE, Chrome y Firefox Herramienta muy potente Ezequiel V´azquez De la calle Hacking web con OWASP
  • 30. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 31. Conclusiones Realizar testing durante todo el ciclo de vida ¡El pentesting no es un juego! Permiso por escrito ¡Importante! Documentaci´on con resultados obtenidos Un buen an´alisis debe intentar cubrir el m´aximo de la superficie de ataque Ahorro o p´erdida de dinero, reputaci´on, etc. La importancia de la formaci´on Ezequiel V´azquez De la calle Hacking web con OWASP
  • 32. Conclusiones Ezequiel V´azquez De la calle Hacking web con OWASP
  • 33. ´Indice 1 Introducci´on 2 OWASP Testing Guide 3 Miscel´anea 4 Conclusiones 5 Referencias Ezequiel V´azquez De la calle Hacking web con OWASP
  • 34. Referencias OWASP official webpage https://www.owasp.org Browser security handbook https://code.google.com/p/browsersec/wiki/Main Top ten web hacking techniques (2012) https://www.whitehatsec.com/resource/grossmanarchives/ 12grossmanarchives/120612toptenwebhack.html Burp Suite http://portswigger.net/burp Ezequiel V´azquez De la calle Hacking web con OWASP
  • 35. Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´azquez De la calle Hacking web con OWASP