Betabeers Sevilla - Hacking web con OWASP
Seu SlideShare está sendo baixado.
×
Confira estes a seguir
Mais Conteúdo rRelacionado
Diapositivos para si (20)
Quem viu também gostou (16)
Semelhante a Introduccion a la OWASP Guatemala (20)
Mais recentes (20)
Introduccion a la OWASP Guatemala
- 1. The OWASP Foundation http://www.owasp.org Introducción a la OWASP Ing. Camilo Fernández Consultor en Seguridad Informática Agosto, 2011 camilo.fernandez@owasp.org
- 2. Camilo Fernandez? • 8+ años de experiencia en seguridad informática. • Presidente de OWASP Guatemala. • seguridad! seguridad! Seguridad! Certificaciones en Seguridad Informática CISM Certified Information Security Manager CISSP Certified Information Systems Security Professional CISA Certified Information Security Auditor CEH Certified Ethical Hacker CHFI Computer Hacking Forensic Investigator MSCE 2003 : Security Microsoft Certified Engineer specialized in Security CEPT Certified Expert Penetration Tester ISO 27001 Lead Auditor Security+
- 3. Que Dem#!..s.. Es la OWASP? OPEN WEB APPLICATION SECURITY PROJECT WASP = google { define:wasp } = ABEJA • Nació en el 2001, por un grupo de personas que se preguntaron: Porque nos confiamos de aplicaciones Web, que tipo de estándar de seguridad nos brinda confianza ? • Comunidad LIBRE y OPEN SOURCE de todos los proyectos que se desarrollan. • Organización NO LUCRATIVA
- 4. Que Dem#!..s.. Es la OWASP? OPEN WEB APPLICATION SECURITY PROJECT • Abierta a cualquiera que quiera APRENDER, AYUDAR, DESARROLLAR o MEJORAR la seguridad en aplicaciones Web. • Misión: “Apoyar a organizaciones a crear, desarrollar, adquirir, operar o mantener aplicaciones que puedan ser confiables.” • Que nos Brinda: • Publicaciones, artículos, normas de buenas practicas. • Herramientas para auditorias de seguridad, educación y librerías de programación. • Capítulos locales & Listas de correo. • Conferencias internacionales. • BECAS DE INVESTIGACION > $100,000 USD
- 5. Porque tanto bla.bla… de la OWASP? • Porque se volvió FAMOSA a nivel INTERNACIONAL. • Porque: NO apoya ninguna marca, tecnología o producto, apoya el CONOCIMIENTO. Finalmente, por que la NSA (National Security Agency) adopto y apoyo el proyecto del TOP TEN y lo mantiene como un estándar a nivel internacional de las 10 amenazas mas criticas en aplicaciones Web.
- 6. Algunas publicaciones de la OWASP • Publicaciones: => documentos ( PDF, Word ) • TOP TEN – 10 Vulnerabilidades criticas en aplicaciones Web. Gerentes de Desarrollo/IT. • TESTING GUIDE – Guía de Auditoria Web. Pentesters. • Guía de Buenas practicas de desarrollo. Desarrolladores.
- 7. Algunos proyectos de la OWASP • Proyectos: => Herramientas OPEN SOURCE • Threat Modeling Tool. Gerentes de Desarrollo. • WebScarab – Web Proxy. • DirBuster. • Zed Attack Proxy. Pentesters. • JBroFuzz. • WebGoat Librerías de Seguridad (ESAPI). • PHP, .NET, JAVA, Ruby, Python, Desarrolladores. • Objective C,C, C++, Javascript, etc.
- 8. Bueno y ahora que va ver…en Guate! • Inicio de la comunidad de OWASP. • Objetivo #1: “Integrar a todos los que quieran participar.” • Oportunidad de presentar ideas y proyectos. • Reuniones Periódicas. • Ambientes Neutrales de Vendedores. • Café Gratis, si encontramos patrocinadores. • Objetivo #2: “Promover el desarrollo seguro en universidades.”
- 9. Preguntas Pagina oficial del Capitulo en Guatemala: http://www.owasp.org/index.php/Guatemala Lista de Correo: https://lists.owasp.org/mailman/listinfo/owasp-guatemala Visiten www.owasp.org Gracias por su atención!
- 10. Hablemos de Hoy • Introducción a la OWASP. 1. 10 Vulnerabilidades criticas en aplicaciones Web. 2. Un método de cómo hacer BLIND SQL INJECTION. 3. Como mitigarnos de esto en dos tecnologías diferentes: • PHP • .NET 4. Que ofrece JAVA a nivel de seguridad. 5. Veremos el modelo de seguridad que ofrece ANDROID. 6. Cambio a charla de ataques de DoS !
