SlideShare uma empresa Scribd logo

Intro Guía de Testing OWASP

R
Ramón Salado Lucena

Presentación de la conferencia "Introducción a la Guía de Testing 4 de OWASP" en OWASP Sevilla 5.

Internet
1 de 24
4
Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado
3 Agosto 2015 Pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Presenta una metodología que recorre de forma organizada y sistemática todas las posibles áreas que supongan vectores de ataque a una aplicación web. Organiza la auditoria en etapas según el estado de madurez en el desarrollo de la aplicación. Propone un framework de pruebas donde se identifican y detallan los puntos de control sobre los que se aplicarán los tests correspondientes.
En Castellano versión 3.0 (2009) Acuerdo Colaboración con UPO 3 Agosto 2015
CICLO DE VIDA Y FRAMEWORK DE PRUEBAS No existe una bala de plata Pensar estratégicamente, no tácticamente El SDLC es el rey Prueba de detección temprana y la prueba de frecuencia Comprender el alcance de la seguridad Entender la situación Utilice las herramientas adecuadas El diablo está en los detalles Usa Código Fuente si está disponible Desarrolla métricas Documentar los resultados de la prueba PRINCIPIOS DEL TESTING PERSONAS, PROCESOS y TECNOLOGÍA
TESTING FRAMEWORK WORK FLOW Esta sección describe un marco de pruebas típico que pueden ser desarrollado dentro de una organización. Fase 1: Antes de que comience el desarrollo ↘ Revisar SDLC (Systems Development Life Cycle) ↘ Desarrollar métricas y asegurar Trazabilidad Fase 2: Durante el diseño y definición ↘ Revisión de requisitos de seguridad. ↘ Revisión de diseño y arquitectura ↘ Crear y revisar modelos UML (Leng. Unif. Modelad) ↘ Crear y revisar modelos de amenaza Fase 3: Durante el desarrollo ↘ Code Walkthrough (itinerario proceso de revisión) ↘ Revisiones de código Fase 4: Durante la implementación ↘ Penetration Testing ↘ Management Testing Fase 4: Mantenimiento y operaciones ↘ Revisiones de gestión ↘ Verificación de cambios
WEB APPLICATION SECURITY TESTING Information Gathering Identity Management Testing Authorization Testing Input Validation Testing Cryptography Client Side Testing Config. & Deploy Management Authentication Testing Session Management Testing Error Handling Business Logic Testing ENJOY ;)
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
Hay elementos directos e indirectos para el descubrimiento con motores de búsqueda: ↘ Métodos directos se refieren a los índices de la búsqueda y el contenido asociado de cachés. ↘ Métodos indirectos se refieren a información sensible del diseño y configuración, buscando foros, grupos de noticias y otros sitios web. Una vez que un robot del motor de búsqueda ha terminado de recórrela, comienza la indexación de la página web basada en etiquetas y atributos asociados, con el fin de devolver los resultados de búsqueda relevantes. Si el archivo robots.txt no se actualiza durante la vida útil del sitio web y es posible que los índices de contenido de la web, incluyan archivos no deseados.
Tools: ↘ FoundStone SiteDigger ↘ Google Hacker ↘ Stach & Liu’s Google Hacking Diggity Project ↘ PunkSPIDER
Obtener las Huellas de un Servidor Web es una tarea fundamental para un test de penetración. Conocer la versión y el tipo de un servidor web en ejecución permite analistas determinar vulnerabilidades conocidas y las técnicas apropiadas para usar durante la prueba. Esta información puede obtenerse enviando al servidor web comandos específicos y analizando la salida, cada versión del software del servidor web puede responder diferente a estas consultas. $ nc 202.41.76.251 80 HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Mon, 16 Jun 2003 02:53:29 GMT Server: Apache/1.3.3 (Unix) (Red Hat) Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT ETag: “1813-49b-361b4df6” Accept-Ranges: bytes Content-Length: 1179 Connection: close Content-Type: text/html HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Expires: Yours, 17 Jun 2003 01:41: 33 GMT Date: Mon, 16 Jun 2003 01:41: 33 GMT Content-Type: text/HTML Accept-Ranges: bytes Last-Modified: Wed, 28 May 2003 15:32: 21 GMT ETag: b0aac0542e25c31: 89d Content-Length: 7369 HTTP/1.1 200 OK Server: Sun-ONE-Web-Server/6.1 Date: Tue, 16 Jan 2007 14:53:45 GMT Content-length: 1186 Content-type: text/html Date: Tue, 16 Jan 2007 14:50:31 GMT Last-Modified: Wed, 10 Jan 2007 09:58:26 GMT Accept-Ranges: bytes Connection: close
Tools: ↘ httprint ↘ httprecon ↘ Netcraft ↘ Desenmascarame
El archivo robots.txt se utiliza para bloquear el acceso a determinados directorios de spiders, robots o crawlers.Esta sección describe cómo probar el archivo robots.txt para evitar fugas de información de la ruta o rutas directorio o carpeta de la aplicación web
Intro Guía de Testing OWASP

Recomendados

Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónGema López
 
Evaluación - Test de penetracion
Evaluación - Test de penetracionEvaluación - Test de penetracion
Evaluación - Test de penetracionrodmonroyd
 

Recomendados

Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónGema López
 
Evaluación - Test de penetracion
Evaluación - Test de penetracionEvaluación - Test de penetracion
Evaluación - Test de penetracionrodmonroyd
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroJavier Antunez / CISSP / LA27001 / IA9001
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vegaTensor
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012v3l3r0f0nt3
 
Antivirus y virus
Antivirus y virusAntivirus y virus
Antivirus y viruscarlete1905
 
Liquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguroLiquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguroSoftware Guru
 
Modulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis LopezModulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis LopezGabriel Alfonso Lara Arango
 
Nuestro circuito
Nuestro circuitoNuestro circuito
Nuestro circuitovikialcaide16
 
Actividad de evaluacion final
Actividad de evaluacion finalActividad de evaluacion final
Actividad de evaluacion finalcamiloandresvnz
 
Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»jenniferb01
 
Lineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectivaLineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectivaMary Alcantara
 
Actividad para trabajar la expresión escrita
Actividad para trabajar la expresión escritaActividad para trabajar la expresión escrita
Actividad para trabajar la expresión escritaOihanaeu
 
Gallinitas
GallinitasGallinitas
Gallinitasbrayitan0701
 
Visita al le parc
Visita al le parcVisita al le parc
Visita al le parcrevistaescuelasayanca
 
Biografia de Gary Francione
Biografia de Gary Francione Biografia de Gary Francione
Biografia de Gary Francione Kimberly Yissel Duque Vazquez
 
Maratón fotografica
Maratón fotograficaMaratón fotografica
Maratón fotograficajenniferb01
 
"Sistemas operativos para ordenador"
"Sistemas operativos para ordenador""Sistemas operativos para ordenador"
"Sistemas operativos para ordenador"Antolinos
 
Actividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académicoActividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académicoanatasilva
 

Mais conteúdo relacionado

Mais procurados

Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vegaTensor
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Antivirus y virus
Antivirus y virusAntivirus y virus
Antivirus y viruscarlete1905
 
Liquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguroLiquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguroSoftware Guru
 

Mais procurados (10)

Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web Seguras
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
 
Antivirus y virus
Antivirus y virusAntivirus y virus
Antivirus y virus
 
Liquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguroLiquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguro
 

Destaque

Actividad de evaluacion final
Actividad de evaluacion finalActividad de evaluacion final
Actividad de evaluacion finalcamiloandresvnz
 
Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»jenniferb01
 
Lineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectivaLineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectivaMary Alcantara
 
Actividad para trabajar la expresión escrita
Actividad para trabajar la expresión escritaActividad para trabajar la expresión escrita
Actividad para trabajar la expresión escritaOihanaeu
 
Maratón fotografica
Maratón fotograficaMaratón fotografica
Maratón fotograficajenniferb01
 
"Sistemas operativos para ordenador"
"Sistemas operativos para ordenador""Sistemas operativos para ordenador"
"Sistemas operativos para ordenador"Antolinos
 
Actividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académicoActividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académicoanatasilva
 
Arte presentación del curso y repaso
Arte presentación del curso y repasoArte presentación del curso y repaso
Arte presentación del curso y repasoAntonio Luengo Gil
 
The taxing of_social_securitytrainingsite
The taxing of_social_securitytrainingsiteThe taxing of_social_securitytrainingsite
The taxing of_social_securitytrainingsiteLLoyd Lofton L.U.T.C.
 
pek. tanah & pasir
pek. tanah & pasirpek. tanah & pasir
pek. tanah & pasirIhya Ululmud
 
What are the Best Colors for Recruiting Websites
What are the Best Colors for Recruiting WebsitesWhat are the Best Colors for Recruiting Websites
What are the Best Colors for Recruiting WebsitesTop Echelon
 
Proyecto tunning
Proyecto tunningProyecto tunning
Proyecto tunningantoniagg03
 

Destaque (20)

Modulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis LopezModulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis Lopez
 
Nuestro circuito
Nuestro circuitoNuestro circuito
Nuestro circuito
 
Actividad de evaluacion final
Actividad de evaluacion finalActividad de evaluacion final
Actividad de evaluacion final
 
Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»
 
Lineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectivaLineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectiva
 
Actividad para trabajar la expresión escrita
Actividad para trabajar la expresión escritaActividad para trabajar la expresión escrita
Actividad para trabajar la expresión escrita
 
Gallinitas
GallinitasGallinitas
Gallinitas
 
Visita al le parc
Visita al le parcVisita al le parc
Visita al le parc
 
Biografia de Gary Francione
Biografia de Gary Francione Biografia de Gary Francione
Biografia de Gary Francione
 
Maratón fotografica
Maratón fotograficaMaratón fotografica
Maratón fotografica
 
"Sistemas operativos para ordenador"
"Sistemas operativos para ordenador""Sistemas operativos para ordenador"
"Sistemas operativos para ordenador"
 
Actividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académicoActividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académico
 
El arte
El arteEl arte
El arte
 
Arte presentación del curso y repaso
Arte presentación del curso y repasoArte presentación del curso y repaso
Arte presentación del curso y repaso
 
The taxing of_social_securitytrainingsite
The taxing of_social_securitytrainingsiteThe taxing of_social_securitytrainingsite
The taxing of_social_securitytrainingsite
 
Lindas Imagens
Lindas ImagensLindas Imagens
Lindas Imagens
 
pek. tanah & pasir
pek. tanah & pasirpek. tanah & pasir
pek. tanah & pasir
 
What are the Best Colors for Recruiting Websites
What are the Best Colors for Recruiting WebsitesWhat are the Best Colors for Recruiting Websites
What are the Best Colors for Recruiting Websites
 
Proyecto tunning
Proyecto tunningProyecto tunning
Proyecto tunning
 
Bessere Dashboards
Bessere DashboardsBessere Dashboards
Bessere Dashboards
 

Semelhante a Intro Guía de Testing OWASP

Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Priscill Orue Esquivel
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Desarrollo de softwareweb romero
Desarrollo de softwareweb romeroDesarrollo de softwareweb romero
Desarrollo de softwareweb romeroAlexa Romero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1COLOMA22
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxfernandojh
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwarelexiherrera
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Polo Perez
 

Semelhante a Intro Guía de Testing OWASP (20)

Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Desarrollo de softwareweb romero
Desarrollo de softwareweb romeroDesarrollo de softwareweb romero
Desarrollo de softwareweb romero
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Paso6 201014 25_colaborativo
Paso6 201014 25_colaborativoPaso6 201014 25_colaborativo
Paso6 201014 25_colaborativo
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptx
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 

Mais de Ramón Salado Lucena

Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 

Mais de Ramón Salado Lucena (6)

SHS2k23
SHS2k23SHS2k23
SHS2k23
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTOR
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 

Último

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoCENECOnline
 
Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadJonathanHctorSilvaRo
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...CENECOnline
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 

Último (6)

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC Mexico
 
Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuad
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 

Intro Guía de Testing OWASP

  • 1. 4
  • 2. Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado
  • 3. 3 Agosto 2015 Pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Presenta una metodología que recorre de forma organizada y sistemática todas las posibles áreas que supongan vectores de ataque a una aplicación web. Organiza la auditoria en etapas según el estado de madurez en el desarrollo de la aplicación. Propone un framework de pruebas donde se identifican y detallan los puntos de control sobre los que se aplicarán los tests correspondientes.
  • 4. En Castellano versión 3.0 (2009) Acuerdo Colaboración con UPO 3 Agosto 2015
  • 5. CICLO DE VIDA Y FRAMEWORK DE PRUEBAS No existe una bala de plata Pensar estratégicamente, no tácticamente El SDLC es el rey Prueba de detección temprana y la prueba de frecuencia Comprender el alcance de la seguridad Entender la situación Utilice las herramientas adecuadas El diablo está en los detalles Usa Código Fuente si está disponible Desarrolla métricas Documentar los resultados de la prueba PRINCIPIOS DEL TESTING PERSONAS, PROCESOS y TECNOLOGÍA
  • 6. TESTING FRAMEWORK WORK FLOW Esta sección describe un marco de pruebas típico que pueden ser desarrollado dentro de una organización. Fase 1: Antes de que comience el desarrollo ↘ Revisar SDLC (Systems Development Life Cycle) ↘ Desarrollar métricas y asegurar Trazabilidad Fase 2: Durante el diseño y definición ↘ Revisión de requisitos de seguridad. ↘ Revisión de diseño y arquitectura ↘ Crear y revisar modelos UML (Leng. Unif. Modelad) ↘ Crear y revisar modelos de amenaza Fase 3: Durante el desarrollo ↘ Code Walkthrough (itinerario proceso de revisión) ↘ Revisiones de código Fase 4: Durante la implementación ↘ Penetration Testing ↘ Management Testing Fase 4: Mantenimiento y operaciones ↘ Revisiones de gestión ↘ Verificación de cambios
  • 7. WEB APPLICATION SECURITY TESTING Information Gathering Identity Management Testing Authorization Testing Input Validation Testing Cryptography Client Side Testing Config. & Deploy Management Authentication Testing Session Management Testing Error Handling Business Logic Testing ENJOY ;)
  • 15.
  • 16.
  • 17.
  • 18.
  • 19. Hay elementos directos e indirectos para el descubrimiento con motores de búsqueda: ↘ Métodos directos se refieren a los índices de la búsqueda y el contenido asociado de cachés. ↘ Métodos indirectos se refieren a información sensible del diseño y configuración, buscando foros, grupos de noticias y otros sitios web. Una vez que un robot del motor de búsqueda ha terminado de recórrela, comienza la indexación de la página web basada en etiquetas y atributos asociados, con el fin de devolver los resultados de búsqueda relevantes. Si el archivo robots.txt no se actualiza durante la vida útil del sitio web y es posible que los índices de contenido de la web, incluyan archivos no deseados.
  • 20. Tools: ↘ FoundStone SiteDigger ↘ Google Hacker ↘ Stach & Liu’s Google Hacking Diggity Project ↘ PunkSPIDER
  • 21. Obtener las Huellas de un Servidor Web es una tarea fundamental para un test de penetración. Conocer la versión y el tipo de un servidor web en ejecución permite analistas determinar vulnerabilidades conocidas y las técnicas apropiadas para usar durante la prueba. Esta información puede obtenerse enviando al servidor web comandos específicos y analizando la salida, cada versión del software del servidor web puede responder diferente a estas consultas. $ nc 202.41.76.251 80 HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Mon, 16 Jun 2003 02:53:29 GMT Server: Apache/1.3.3 (Unix) (Red Hat) Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT ETag: “1813-49b-361b4df6” Accept-Ranges: bytes Content-Length: 1179 Connection: close Content-Type: text/html HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Expires: Yours, 17 Jun 2003 01:41: 33 GMT Date: Mon, 16 Jun 2003 01:41: 33 GMT Content-Type: text/HTML Accept-Ranges: bytes Last-Modified: Wed, 28 May 2003 15:32: 21 GMT ETag: b0aac0542e25c31: 89d Content-Length: 7369 HTTP/1.1 200 OK Server: Sun-ONE-Web-Server/6.1 Date: Tue, 16 Jan 2007 14:53:45 GMT Content-length: 1186 Content-type: text/html Date: Tue, 16 Jan 2007 14:50:31 GMT Last-Modified: Wed, 10 Jan 2007 09:58:26 GMT Accept-Ranges: bytes Connection: close
  • 22. Tools: ↘ httprint ↘ httprecon ↘ Netcraft ↘ Desenmascarame
  • 23. El archivo robots.txt se utiliza para bloquear el acceso a determinados directorios de spiders, robots o crawlers.Esta sección describe cómo probar el archivo robots.txt para evitar fugas de información de la ruta o rutas directorio o carpeta de la aplicación web