Академический Документы
Профессиональный Документы
Культура Документы
23/Oct/2017
Contenido
1. Introducción
1.1 ¿Qué es OWASP?
1.2 ¿Qué ofrece OWASP?
5. Cómo Reportar
2
¿Qué es OWASP?
3
¿Qué ofrece
OWASP?
• Documentación
• Herramientas
• Eventos/Foros
Documentación
La guía de desarrollo
• Uno de los primeros documentos de
OWASP, publicado en el 2005.
5
Documentación
La guía de revisión del código
6
Documentación
La guía de pruebas
• 87 Puntos de control a tener en cuenta tanto
en el desarrollo como en la revisión de
seguridad en 11 categorías distintas.
7
Documentación
Top 10 de vulnerabilidades web
• Es una lista de los 10 problemas
de seguridad web más frecuentes
detectados por OWASP.
8
Herramientas
9
Aplicaciones Web deliberadamente
inseguras
10
Pruebas de Seguridad
de Aplicaciones Web
¿Que es probar?
¿Qué se prueba?
11
¿Que es probar?
“Busca asegurar que el sistema funciona de acuerdo con las especificaciones y que el
módulo lógico es válido; comparando el resultado esperado con el resultado obtenido”.
Roger S. Pressman
12
¿Por qué realizar pruebas?
• Aseguramiento de la calidad.
13
¿Qué se prueba?
-Dijkstra
14
Comprender el ámbito
de seguridad
Entender el tema:
-Modelado de Amenazas
-Revisión de Código
15
Comprender el ámbito
de seguridad
16
Comprender el ámbito
de seguridad
Utilizar la herramientas correctas:
-Pruebas automatizadas
17
Casos de pruebas de Seguridad de
Aplicaciones Web
18
Pruebas de enumeración de cuentas y adivinanza de cuentas de usuario
(OTGIDENT-004)
Summary
Cómo probar
• Adivinanza de usuarios
19
Soluciones:
• Número predefinido de intentos fallidos (basado en
las políticas de la aplicación).
• Captchas.
• Desactivación de la cuenta.
20
Pruebas de las credenciales por defecto (OTG-AUTHN-002)
Summary
Cómo probar
21
Soluciones:
• No dejar las configuraciones mínimas.
22
Pruebas para eludir el esquema de autenticación (OTG-AUTHN-004)
Summary
Mientras que la mayoría de las aplicaciones requieren autenticación para tener acceso a
información privada o para ejecutar las tareas, no todos los métodos de autenticación son
capaces de proporcionar una seguridad adecuada. La negligencia, ignorancia o una simple
subvaloración de las amenazas de seguridad.
Cómo probar
• Predicción de sesión ID
• Inyección de SQL
23
Soluciones:
• Comprobar las credenciales del usuario antes de
conceder el acceso.
Summary
Considere las reglas para la función del negocio que proporciona la aplicación. ¿Existen
límites o restricciones en el comportamiento de las personas? Entonces considere si la
aplicación hace cumplir esas normas.
25
Prueba de la posibilidad de carga de tipos de archivos inesperados (OTG-
BUSLOGIC-008)
Summary
Esto es importante ya que, sin esta protección, los atacantes pueden ser capaces de enviar
archivos inesperados tales como .exe o .php que se guardan en el sistema y luego se
ejecutan contra el sistema o aplicación.
26
Prueba para cambios de clave débil o funcionalidades de reinicio. (OTG-AUTHN-
009)
Summary
Cómo probar
• Pruebe el reinicio de contraseña.
27
Soluciones:
• La mejor seguridad se logra si las contraseñas se generan
aleatoriamente con un algoritmo seguro.
28
Cómo Reportar
• Resumen Ejecutivo
• Parámetros de prueba
• Resultados
29
Resumen Ejecutivo
Es necesario documentar todos los resultados obtenidos en cada fase, para tener soportes
de las labores realizadas y a su vez la respectiva justificación de los resultados finales.
30
Parámetros de prueba
Se debe describir los para metros de las pruebas de seguridad, los hallazgos y la remediación.
Algunos títulos de las secciones sugeridas incluyen:
Esta sección esta dirigida a un nivel técnico y debe incluir toda la información
necesaria para que los equipos técnicos puedan comprender el problema y resolverlo.
32
Bibliografía
https://www.owasp.org/images/1/19/OTGv4.pdf
https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project/Pages/
Offline
https://www.dragonjar.org/que-es-owasp-open-web-application-security-project.xhtml
https://www.genbetadev.com/seguridad-informatica/owasp-creando-aplicaciones-seguras
33
🎃
Thanks! 👍
Any questions?
34
Credits
35