SlideShare una empresa de Scribd logo

Webinar Gratis OWASP WebScarab

Alonso Caballero
Alonso Caballero
Tecnología
1 de 11
Descargar para leer sin conexión
Webinar Gratuito OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014
¿Quién Soy? • Consultor e Instructor Independiente en Hacking Ético, Informática Forense y GNU/Linux. • Ex Integrante de RareGaZz y actual integrante de PeruSEC. • Ex Redactor en la Revista Linux+ DVD (ES). • • • Creador del II Reto Forense Digital Sudamericano - Chavín de Huantar 2012. Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. Más de 11 años de experiencia en el área. • @Alonso_ReYDeS • pe.linkedin.com/in/alonsocaballeroquezada/
¿Qué es OWASP WebScarab? WebScarab es un framework para analizar aplicaciones que se comunican utilizado los protocolos HTTP y HTTPS. Fue escrito en Java y es portátil a varias plataformas. WebScarab tiene varios modos de operación, implementados por plugins. En su forma de uso más común opera como un proxy de interceptación, lo cual permite modificar y revisar las solicitudes creadas por el navegador antes de ser enviadas al servidor, además de permitir modificar y revisar las respuesta devueltas desde el servidor antes de ser recibidas por el navegador. WebScarab es capaz de interceptar una comunicación HTTP y HTTPS. Pudiendo revisar las conversaciones (solicitudes y respuestas) que han pasado a través de WebScarab * https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Características Los plugins incluidos en WebScarab son los siguientes: • • • • Fragmentos: Extrae Scripts y Comentarios HTML desde páginas HTML cuando son vistos mediante el proxy, u otros plugins. Proxy: Observa el tráfico entre el navegador y el servidor web. Es capaz de observar tráfico HTTP y tráfico cifrado HTTP, negociando una conexión SSL entre WebScarab y el navegador y permite que pase a través de este un flujo cifrado. Interceptación Manual: Permite al usuario modificar solicitudes y respuestas HTTP y HTTPS al vuelo, antes de llegar al servidor o navegador. Beanshell: Permite la ejecución de operaciones arbitrariamente complejas sobre solicitudes y respuestas. Todo lo que pueda ser expresado en Java puede ser ejecutado.
Características (Cont.) • • • • • Revelar campos ocultos: Algunas veces es más fácil modificar un campo oculto en una página por si misma, que interceptar la solicitud después de que ha sido enviadas. Este plugin simplemente cambia todos los campos ocultos encontrados en páginas HTML a campos de texto, haciéndolos visibles y editables. Simulador de Ancho de Banda: Permite al usuario emular una red lenta, para poder observar como el sitio web se comporta cuando es accedido, como por ejemplo con un modem. Spider: Identifica nuevas URLs en el sitio objetivo, y las recupera. Solicitud Manual: Permite editar y repetir un solicitud previa, o crear solicitudes completamente nuevas. Análisis de IDs de Sesión: Recolecta y analiza un número de cookies para determinar visualmente el grado de aleatoriedad y no predicibilidad.
Características (Cont.) • • • • Scriptid: Se puede usar BeanShell para escribir un script para crear solicitudes y traerlas desde el servidor. El script puede además realizar algún análisis sobre las respuestas, con todo el poder del modelo de objetos de solicitud y respuesta para simplificar las cosas. Fuzzer de Parámetros: Realizar substitución automática de valores de parámetros que son probables de exponer validación incompleta de parámetros, conduciendo a vulnerabilidades como XSS o SQLi. Buscar: Permite al usuario crear expresiones arbitrarias BeanShell para identificar conversaciones que deben ser mostradas en la lista. Comparar: Calcula la distancia de edición entre el cuerpo de la respuesta de la conversación observada, y la conversación seleccionada como referencia. La distancia de edición es “el número de ediciones requeridas para transformar un documento en otro”. Por razones de desempeño, las ediciones son calculadas utilizando tokens de palabras, en lugar de byte por byte.
Características (Cont.) • • • SOAP: (Simple Object Access Protocol) Este plugin interpreta WSDL (Web Service Definition Language) y presenta varias funciones además de los parámetros requeridos, permitiendo editarlas antes de ser enviados al servidor. Se sugiere utilizar en su lugar SOAPUI. Extensiones: Automatiza las pruebas por archivos que son dejados por descuido en el directorio raíz del servidor web (.bak). Las verificaciones son realizadas para archivos y directorios. Las extensiones para archivos y directorios pueden ser editadas por el usuario. XSS/CRFL: Plugin de análisis pasivo que busca por datos controlados por el usuario en las cabeceras de respuesta HTTP y el cuerpo para identificar vulnerabilidades de inyección CRLF (Carriage Return and Line Feed) (HTTP response splitting) y XSS (Cross Site Scripting). URL: http://www.soapui.org/
Curso Virtual de Hacking Aplicaciones Web Días: Grupo 1: Sábados 1, 8, 15 y 22 de Febrero del 2014 Grupo 2: Domingos 2, 9, 16 y 23 de Febrero del 2014 Horario: De 9:00am a 12:30m (UTC -05:00) Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web caballero.alonso@gmail.com @Alonso_ReYDeS http://pe.linkedin.com/in/alonsocaballeroquezada/ ReYDeS http://www.reydes.com
Demostraciones A continuación se presentan algunas demostraciones prácticas utilizando OWASP WebScarab en Samurai-WTF
Más Material Los invito a visualizar los 17 Webinars Gratuitos que he dictado hasta el momento, sobre temas de Hacking Ético, Pruebas de Penetración, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Pueden obtener todas las diapositivas utilizadas en los Webinars Gratuitos desde la siguiente página: http://www.reydes.com/d/?q=node/3 Pueden obtener todos los artículos y documentos que he publicado. http://www.reydes.com/d/?q=node/2 Mi blog personal: http://www.reydes.com/d/?q=blog/1
¡Muchas Gracias! OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014

Recomendados

Documertar APIs - Meetup.js
Documertar APIs - Meetup.jsDocumertar APIs - Meetup.js
Documertar APIs - Meetup.jsEzequiel Rial
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
ProxyPAPI-v05r01
ProxyPAPI-v05r01ProxyPAPI-v05r01
ProxyPAPI-v05r01mrzeta
 
Lenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuarioLenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuariolinhos315
 
Semana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbSemana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbRichard Eliseo Mendoza Gafaro
 
Servidores web apache
Servidores web apacheServidores web apache
Servidores web apacheDavid
 
Desarrollo Subversivo
Desarrollo SubversivoDesarrollo Subversivo
Desarrollo SubversivoAriel Graneros
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 

Recomendados

Documertar APIs - Meetup.js
Documertar APIs - Meetup.jsDocumertar APIs - Meetup.js
Documertar APIs - Meetup.jsEzequiel Rial
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
ProxyPAPI-v05r01
ProxyPAPI-v05r01ProxyPAPI-v05r01
ProxyPAPI-v05r01mrzeta
 
Lenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuarioLenguajes del lado del servidor y del lado del usuario
Lenguajes del lado del servidor y del lado del usuariolinhos315
 
Semana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbSemana 7 Servicios Web API REST con Mongodb
Semana 7 Servicios Web API REST con MongodbRichard Eliseo Mendoza Gafaro
 
Servidores web apache
Servidores web apacheServidores web apache
Servidores web apacheDavid
 
Desarrollo Subversivo
Desarrollo SubversivoDesarrollo Subversivo
Desarrollo SubversivoAriel Graneros
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 
Linux y-windows
Linux y-windowsLinux y-windows
Linux y-windowsPacoVM1
 
Apli t1 ejr
Apli t1 ejrApli t1 ejr
Apli t1 ejrgarciadebora
 
Servidor http(web)
Servidor http(web)Servidor http(web)
Servidor http(web)Luis Enrique Hernandez Anibal
 
software APACHE.
software APACHE.software APACHE.
software APACHE.joseluisml001
 
Unidad 2
Unidad 2Unidad 2
Unidad 2Norma Alicia
 
Tecnologías web.pptx
Tecnologías web.pptxTecnologías web.pptx
Tecnologías web.pptxGabrielCarbas
 
Web services1
Web services1Web services1
Web services1ANDRES FELIPE CRUZ ERAZO
 
Arquitectura de referencia corregido
Arquitectura de referencia corregidoArquitectura de referencia corregido
Arquitectura de referencia corregidoJose Torres Gonzales
 
Unidad_2
Unidad_2Unidad_2
Unidad_2Norma Alicia
 
Servidor web
Servidor webServidor web
Servidor webAndres Luzon
 
Introducción al desarrollo web moderno
Introducción al desarrollo web modernoIntroducción al desarrollo web moderno
Introducción al desarrollo web modernoSebastián Rocco
 
Base de datos ii apache
Base de datos ii apacheBase de datos ii apache
Base de datos ii apacheGrisel Fernandez
 
Servidor http
Servidor httpServidor http
Servidor httpKaarla Roodriguez DeSaucedo
 
Miranda yesenia tarea3
Miranda yesenia tarea3Miranda yesenia tarea3
Miranda yesenia tarea3Yesenia Miranda Cazas
 
Desarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDesarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDaniel Cruz
 
Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016Erick Paul Lozada Peñarreta
 
APACHE
APACHEAPACHE
APACHEneftaly quijano tun
 
Curso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología JavaCurso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología Javaalvaro alcocer sotil
 
ASP.NET MVC
ASP.NET MVCASP.NET MVC
ASP.NET MVCRodolfo Finochietti
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAHelmilpa
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 

Más contenido relacionado

Similar a Webinar Gratis OWASP WebScarab

Linux y-windows
Linux y-windowsLinux y-windows
Linux y-windowsPacoVM1
 
Tecnologías web.pptx
Tecnologías web.pptxTecnologías web.pptx
Tecnologías web.pptxGabrielCarbas
 
Arquitectura de referencia corregido
Arquitectura de referencia corregidoArquitectura de referencia corregido
Arquitectura de referencia corregidoJose Torres Gonzales
 
Introducción al desarrollo web moderno
Introducción al desarrollo web modernoIntroducción al desarrollo web moderno
Introducción al desarrollo web modernoSebastián Rocco
 
Desarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDesarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDaniel Cruz
 
Curso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología JavaCurso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología Javaalvaro alcocer sotil
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAHelmilpa
 

Similar a Webinar Gratis OWASP WebScarab (20)

Linux y-windows
Linux y-windowsLinux y-windows
Linux y-windows
 
Apli t1 ejr
Apli t1 ejrApli t1 ejr
Apli t1 ejr
 
Servidor http(web)
Servidor http(web)Servidor http(web)
Servidor http(web)
 
software APACHE.
software APACHE.software APACHE.
software APACHE.
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 
Tecnologías web.pptx
Tecnologías web.pptxTecnologías web.pptx
Tecnologías web.pptx
 
Web services1
Web services1Web services1
Web services1
 
Arquitectura de referencia corregido
Arquitectura de referencia corregidoArquitectura de referencia corregido
Arquitectura de referencia corregido
 
Unidad_2
Unidad_2Unidad_2
Unidad_2
 
Servidor web
Servidor webServidor web
Servidor web
 
Introducción al desarrollo web moderno
Introducción al desarrollo web modernoIntroducción al desarrollo web moderno
Introducción al desarrollo web moderno
 
Base de datos ii apache
Base de datos ii apacheBase de datos ii apache
Base de datos ii apache
 
Servidor http
Servidor httpServidor http
Servidor http
 
Miranda yesenia tarea3
Miranda yesenia tarea3Miranda yesenia tarea3
Miranda yesenia tarea3
 
Desarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nubeDesarrollo de aplicaciones en la nube
Desarrollo de aplicaciones en la nube
 
Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016Capitulo 1 - Proyecto integrador 2015-2016
Capitulo 1 - Proyecto integrador 2015-2016
 
APACHE
APACHEAPACHE
APACHE
 
Curso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología JavaCurso: Programación Web con Tecnología Java
Curso: Programación Web con Tecnología Java
 
ASP.NET MVC
ASP.NET MVCASP.NET MVC
ASP.NET MVC
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVA
 

Más de Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxAlonso Caballero
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 

Más de Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 

Último (15)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 

Webinar Gratis OWASP WebScarab

  • 1. Webinar Gratuito OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014
  • 2. ¿Quién Soy? • Consultor e Instructor Independiente en Hacking Ético, Informática Forense y GNU/Linux. • Ex Integrante de RareGaZz y actual integrante de PeruSEC. • Ex Redactor en la Revista Linux+ DVD (ES). • • • Creador del II Reto Forense Digital Sudamericano - Chavín de Huantar 2012. Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. Más de 11 años de experiencia en el área. • @Alonso_ReYDeS • pe.linkedin.com/in/alonsocaballeroquezada/
  • 3. ¿Qué es OWASP WebScarab? WebScarab es un framework para analizar aplicaciones que se comunican utilizado los protocolos HTTP y HTTPS. Fue escrito en Java y es portátil a varias plataformas. WebScarab tiene varios modos de operación, implementados por plugins. En su forma de uso más común opera como un proxy de interceptación, lo cual permite modificar y revisar las solicitudes creadas por el navegador antes de ser enviadas al servidor, además de permitir modificar y revisar las respuesta devueltas desde el servidor antes de ser recibidas por el navegador. WebScarab es capaz de interceptar una comunicación HTTP y HTTPS. Pudiendo revisar las conversaciones (solicitudes y respuestas) que han pasado a través de WebScarab * https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
  • 4. Características Los plugins incluidos en WebScarab son los siguientes: • • • • Fragmentos: Extrae Scripts y Comentarios HTML desde páginas HTML cuando son vistos mediante el proxy, u otros plugins. Proxy: Observa el tráfico entre el navegador y el servidor web. Es capaz de observar tráfico HTTP y tráfico cifrado HTTP, negociando una conexión SSL entre WebScarab y el navegador y permite que pase a través de este un flujo cifrado. Interceptación Manual: Permite al usuario modificar solicitudes y respuestas HTTP y HTTPS al vuelo, antes de llegar al servidor o navegador. Beanshell: Permite la ejecución de operaciones arbitrariamente complejas sobre solicitudes y respuestas. Todo lo que pueda ser expresado en Java puede ser ejecutado.
  • 5. Características (Cont.) • • • • • Revelar campos ocultos: Algunas veces es más fácil modificar un campo oculto en una página por si misma, que interceptar la solicitud después de que ha sido enviadas. Este plugin simplemente cambia todos los campos ocultos encontrados en páginas HTML a campos de texto, haciéndolos visibles y editables. Simulador de Ancho de Banda: Permite al usuario emular una red lenta, para poder observar como el sitio web se comporta cuando es accedido, como por ejemplo con un modem. Spider: Identifica nuevas URLs en el sitio objetivo, y las recupera. Solicitud Manual: Permite editar y repetir un solicitud previa, o crear solicitudes completamente nuevas. Análisis de IDs de Sesión: Recolecta y analiza un número de cookies para determinar visualmente el grado de aleatoriedad y no predicibilidad.
  • 6. Características (Cont.) • • • • Scriptid: Se puede usar BeanShell para escribir un script para crear solicitudes y traerlas desde el servidor. El script puede además realizar algún análisis sobre las respuestas, con todo el poder del modelo de objetos de solicitud y respuesta para simplificar las cosas. Fuzzer de Parámetros: Realizar substitución automática de valores de parámetros que son probables de exponer validación incompleta de parámetros, conduciendo a vulnerabilidades como XSS o SQLi. Buscar: Permite al usuario crear expresiones arbitrarias BeanShell para identificar conversaciones que deben ser mostradas en la lista. Comparar: Calcula la distancia de edición entre el cuerpo de la respuesta de la conversación observada, y la conversación seleccionada como referencia. La distancia de edición es “el número de ediciones requeridas para transformar un documento en otro”. Por razones de desempeño, las ediciones son calculadas utilizando tokens de palabras, en lugar de byte por byte.
  • 7. Características (Cont.) • • • SOAP: (Simple Object Access Protocol) Este plugin interpreta WSDL (Web Service Definition Language) y presenta varias funciones además de los parámetros requeridos, permitiendo editarlas antes de ser enviados al servidor. Se sugiere utilizar en su lugar SOAPUI. Extensiones: Automatiza las pruebas por archivos que son dejados por descuido en el directorio raíz del servidor web (.bak). Las verificaciones son realizadas para archivos y directorios. Las extensiones para archivos y directorios pueden ser editadas por el usuario. XSS/CRFL: Plugin de análisis pasivo que busca por datos controlados por el usuario en las cabeceras de respuesta HTTP y el cuerpo para identificar vulnerabilidades de inyección CRLF (Carriage Return and Line Feed) (HTTP response splitting) y XSS (Cross Site Scripting). URL: http://www.soapui.org/
  • 8. Curso Virtual de Hacking Aplicaciones Web Días: Grupo 1: Sábados 1, 8, 15 y 22 de Febrero del 2014 Grupo 2: Domingos 2, 9, 16 y 23 de Febrero del 2014 Horario: De 9:00am a 12:30m (UTC -05:00) Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web caballero.alonso@gmail.com @Alonso_ReYDeS http://pe.linkedin.com/in/alonsocaballeroquezada/ ReYDeS http://www.reydes.com
  • 9. Demostraciones A continuación se presentan algunas demostraciones prácticas utilizando OWASP WebScarab en Samurai-WTF
  • 10. Más Material Los invito a visualizar los 17 Webinars Gratuitos que he dictado hasta el momento, sobre temas de Hacking Ético, Pruebas de Penetración, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Pueden obtener todas las diapositivas utilizadas en los Webinars Gratuitos desde la siguiente página: http://www.reydes.com/d/?q=node/3 Pueden obtener todos los artículos y documentos que he publicado. http://www.reydes.com/d/?q=node/2 Mi blog personal: http://www.reydes.com/d/?q=blog/1
  • 11. ¡Muchas Gracias! OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero del 2014