O T Guía De Pruebas De U T OWASP A R G Alonso Eduardo .
2y ago
26 Views
1 Downloads
1.52 MB
18 Pages
Report/dmca
Download PDF

Transcription

Webinar GratuitoGuía de Pruebas deOWASPAlonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/LinuxSitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.comJueves 31 de Enero del 2019

PresentaciónAlonso Eduardo Caballero Quezada es EXIN Ethical Hacking FoundationCertificate, LPIC-1 Linux Administrator Certified, LPI Linux EssentialsCertificate, IT Masters Certificate of Achievement en Network SecurityAdministrator, Hacking Countermeasures, Cisco CCNA Security,Information Security Incident Handling, Digital Forensics, CybersecurityManagement Cyber Warfare and Terrorism, Enterprise Cyber SecurityFundamentals y Phishing Countermeasures.Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 LuckyPerú. Cuenta con más de 16 años de experiencia y desde hace 12 añoslabora como consultor e instructor independiente en las áreas deHacking Ético y Forense Digital. Ha dictado cursos presenciales y virtualesen Ecuador, España, Bolivia y Perú, presentándose tambiénconstantemente en exposiciones enfocadas a Hacking Ético, ForenseDigital, GNU/Linux.https://twitter.com/Alonso uezada/reydes@gmail.comAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

IntroducciónLa creación de la versión 4 de la Guía de pruebas de OWASP, tienecomo propósito ser una guía estándar de facto para realizarpruebas de penetración contra aplicaciones web. La versión 4 de laguía de pruebas de OWASP, mejora la versión anterior de tresmaneras.1. Esta versión se integra con otros dos documentos de OWASP; laguía para desarrolladores, y la guía para revisión de código.2. Todos los capítulos han sido mejorados y los casos de pruebasampliados a 87, incluyendo la introducción de cuatro nuevoscapítulos y controles.3. Esta versión alienta a la comunidad a no aceptar simplementelos casos descritos en la guía. Recomienda integrar con otrosoftware de prueba y diseñar casos de pruebas específicos.* OWASP Testing Guide v4: https://www.owasp.org/index.php/OWASP Testing ProjectAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Proyecto de Pruebas de OWASPEste proyecto ha estado en desarrollo por muchos años. Elpropósito del proyecto es ayudar a las personas a entender el que,porque, cuando, donde, y el como de las pruebas a aplicacionesweb.El proyecto entrega una completa estructura para pruebas, nomeramente una lista de verificación o prescripción de problemaslos cuales deben sera abarcados.Los lectores pueden utilizar esta estructura de trabajo como unaplantilla para construir sus propios programas de pruebas, o paracualificar los procesos de otras personas.La guía de pruebas describe en detalle ya sea la estructura generalde pruebas, y las técnicas requeridas para implementar el marco detrabajo en la practica.* Testing Guide ng Guide Introduction#The OWASP Testing ProjectAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Pruebas de PenetraciónHan sido una técnica comúnmente utilizada para evaluar laseguridad de las redes por muchos años. También se conoce comopruebas de caja negra o Hacking Ético.La prueba de penetración es el “arte” de probar una aplicación enfuncionamiento de manera remota, para encontrarvulnerabilidades de seguridad, sin conocer el funcionamientointerno de la aplicación en si.Típicamente un equipo de prueba de penetración tendrá accesohacia una aplicación, como si fuesen los usuarios. El profesionalactúa como un atacante e intenta encontrar y explotarvulnerabilidades.En muchos casos al profesional se le proporcionará una cuentaválida en el sistema.* Penetration Testing: https://www.owasp.org/index.php/Testing Guide Introduction#Penetration TestingAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Pruebas de Penetración (Cont.)Si bien las pruebas de penetración demuestran ser efectivas en laseguridad de las redes, la técnica no se traduce naturalmente hacialas aplicaciones.Cuando se realiza una prueba de penetración en redes y sistemasoperativos, la mayoría del trabajo implica encontrar y explotarvulnerabilidades conocidas en tecnologías específicas.Como las aplicaciones web son casi exclusivamente hechas amedida, las pruebas de penetración en este campo son másparecidas a una investigación pura.Se han desarrollado herramientas para automatizar el proceso,pero dada la naturaleza de las aplicaciones web, su efectividad esusualmente baja.* Penetration Testing: https://www.owasp.org/index.php/Testing Guide Introduction#Penetration TestingAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Estructura de Trabajo para Pruebas de OWASPSe describe una estructura típica de pruebas a desplegar en unaorganización:Fase 1: Antes de iniciar de desarrollo Fase 1.1: Definir un SDLCFase 1.2: Revisar las políticas y estándaresFase 1.3: Desarrollar criterios de medidas y métricas y asegurartrazabilidadFase 2: Durante la definición y diseño Fase 2.1: Revisión de requerimientos en seguridadFase 2.2: Revisión del diseño y arquitecturaFase 2.3: Crear y revisar modelos UMLFase 2.4: Crear y revisar modelos de amenazasAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Estructura de Trabajo para Pruebas de OWASPFase 3: Durante el desarrollo Fase 3.1: Recorrer a través del códigoFase 3.2: Revisión del códigoFase 4: Durante el despliegue Fase 4.1: Pruebas de penetración contra la aplicaciónFase 4.1: Pruebas de gestión de la configuraciónFase 5: Mantenimiento y operaciones Fase 5.1: Realizar revisiones de gestión operacionalFase 5.2: Realizar verificaciones periódicas de bienestarFase 5.3: Asegurar verificación de cambiosAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Un Típico Flujo de Trabajo para Probar SDLC* A Typical SDLC Testing Workflow:https://www.owasp.org/index.php/The OWASP Testing Framework#A Typical SDLC Testing WorkflowAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Pruebas de Seguridad a Aplicaciones webEs un método para evaluar la seguridad de un sistema de cómputoo red, mediante una validación metodológica, y verificando laefectividad de los controles de seguridad en la aplicación.Una prueba de seguridad contra aplicaciones web se enfocaúnicamente en evaluar la seguridad de una aplicación web. Elproceso involucra análisis activo de la aplicación por debilidades,fallas técnicas, o vulnerabilidades.Cualquier inconveniente encontrado será presentado alpropietario del sistema, junto con una evaluación del impacto, yuna propuesta para mitigarlo o una solución técnica.* Testing: Introduction and objectives: https://www.owasp.org/index.php/Testing: Introduction and objectivesAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Metodología de Pruebas de OWASPLas pruebas de seguridad nunca serán una ciencia exacta, donde sepueda definir una lista completa de todos los posiblesinconvenientes a ser evaluados. De hecho, las pruebas deseguridad son únicamente una técnica apropiada para probar laseguridad de las aplicaciones web, bajo ciertas circunstancias.El objetivo del proyecto es recopilar todas las técnicas de pruebasposibles, explicar las técnicas, y mantener la guía actualizada. Elmétodo de prueba de seguridad contra aplicaciones web deOWASP, se basa en la perspectiva de caja negra. En donde elprofesional no conoce nada o tiene poca información sobre laaplicación a ser evaluada.El modelo está constituido de; el profesional, herramientas ymetodologías, y la aplicación.Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Lista de Verificación de PruebasLa siguiente es un resumen de la lista de controles a evaluardurante las pruebas. Captura de Información (Information Gathering)Pruebas de Gestión de las Configuración y Despliegue(Configuration and Deploy Management Testing)Pruebas de Gestión de Identidad (Identity ManagementTesting)Pruebas de Autenticación (Authentication Testing)Pruebas de Autorización (Authorization Testing)Pruebas de Gestión de la Sesión (Session Management Testing)Pruebas de Validación de Datos (Data Validation Testing)Manejo de Error (Error Handling)Criptografía (Cryptography)Pruebas de la Lógica de la Empresa (Business Logic Testing)Pruebas del Lago del Cliente (Client Side Testing)* Testing Checklist: https://www.owasp.org/index.php/Testing ChecklistAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Captura de InformaciónProbar por captura de información incluye los siguientes artículos: Realizar Descubrimiento en Motores de Búsqueda yReconocimiento por Fuga de InformaciónObtener la Huella del Servidor WebRevisar Metaarchivos del Servidor Web por Exposición deInformaciónEnumerar las Aplicaciones en el Servidor WebRevisar los Comentarios y Metadatos de la Página Web porExposición de InformaciónIdentificar Puntos de Entrada a la AplicaciónMapear Rutas de Ejecución a través de la AplicaciónObtener la Huella del Framework de la Aplicación WebObtener una Huella de la Aplicación WebMapa de la Arquitectura de la Aplicación* Testing for Information Gathering: https://www.owasp.org/index.php/Testing Information GatheringAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Curso Virtual Hacking Aplicaciones Web 2019Información: http://www.reydes.com/d/?q Curso de Hacking Aplicaciones Webe-mail: reydes@gmail.comSitio web: http://www.reydes.comAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Demostraciones.Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Cursos Virtuales Disponibles en VideoCurso Virtual de Hacking Éticohttp://www.reydes.com/d/?q Curso de Hacking EticoCurso Virtual de Hacking Aplicaciones Webhttp://www.reydes.com/d/?q Curso de Hacking Aplicaciones WebCurso Virtual de Informática Forensehttp://www.reydes.com/d/?q Curso de Informatica ForenseCurso Virtual Hacking con Kali Linuxhttp://www.reydes.com/d/?q Curso de Hacking con Kali LinuxCurso Virtual OSINT - Open Source Intelligencehttp://www.reydes.com/d/?q Curso de OSINTCurso Virtual Forense de Redeshttp://www.reydes.com/d/?q Curso Forense de RedesY todos los cursos virtuales:http://www.reydes.com/d/?q cursosAlonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Más ContenidosVideos de 44 webinars gratuitoshttp://www.reydes.com/d/?q videosDiapositivas de los webinars gratuitoshttp://www.reydes.com/d/?q node/3Artículos y documentos publicadoshttp://www.reydes.com/d/?q node/2Blog sobre temas de mi interés.http://www.reydes.com/d/?q blog/1Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Webinar GratuitoGuía de Pruebas deOWASPAlonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/LinuxSitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.comJueves 31 de Enero del 2019

Introducción La creación de la versión 4 de la Guía de pruebas de OWASP, tiene co

Related Books

PopularTags

Recent Views