o t guía de pruebas de u t owasp a r g alonso eduardo caballero … · 2019-03-07 · pruebas de...
TRANSCRIPT
Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: [email protected]
Jueves 31 de Enero del 2019Web
inar
Gra
tuit
o Guía de Pruebas de OWASP
Presentación
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals y Phishing Countermeasures.
Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 16 años de experiencia y desde hace 12 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux.
https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/ http://www.reydes.com
https://www.linkedin.com/in/alonsocaballeroquezada/ [email protected]
Introducción
La creación de la versión 4 de la Guía de pruebas de OWASP, tiene como propósito ser una guía estándar de facto para realizar pruebas de penetración contra aplicaciones web. La versión 4 de la guía de pruebas de OWASP, mejora la versión anterior de tres maneras.
1. Esta versión se integra con otros dos documentos de OWASP; la guía para desarrolladores, y la guía para revisión de código.
2. Todos los capítulos han sido mejorados y los casos de pruebas ampliados a 87, incluyendo la introducción de cuatro nuevos capítulos y controles.
3. Esta versión alienta a la comunidad a no aceptar simplemente los casos descritos en la guía. Recomienda integrar con otro software de prueba y diseñar casos de pruebas específicos.
* OWASP Testing Guide v4: https://www.owasp.org/index.php/OWASP_Testing_Project
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Proyecto de Pruebas de OWASP
Este proyecto ha estado en desarrollo por muchos años. El propósito del proyecto es ayudar a las personas a entender el que, porque, cuando, donde, y el como de las pruebas a aplicaciones web.
El proyecto entrega una completa estructura para pruebas, no meramente una lista de verificación o prescripción de problemas los cuales deben sera abarcados.
Los lectores pueden utilizar esta estructura de trabajo como una plantilla para construir sus propios programas de pruebas, o para cualificar los procesos de otras personas.
La guía de pruebas describe en detalle ya sea la estructura general de pruebas, y las técnicas requeridas para implementar el marco de trabajo en la practica.
* Testing Guide Introduction: https://www.owasp.org/index.php/Testing_Guide_Introduction#The_OWASP_Testing_Project
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Pruebas de Penetración
Han sido una técnica comúnmente utilizada para evaluar la seguridad de las redes por muchos años. También se conoce como pruebas de caja negra o Hacking Ético.
La prueba de penetración es el “arte” de probar una aplicación en funcionamiento de manera remota, para encontrar vulnerabilidades de seguridad, sin conocer el funcionamiento interno de la aplicación en si.
Típicamente un equipo de prueba de penetración tendrá acceso hacia una aplicación, como si fuesen los usuarios. El profesional actúa como un atacante e intenta encontrar y explotar vulnerabilidades.
En muchos casos al profesional se le proporcionará una cuenta válida en el sistema.
* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Pruebas de Penetración (Cont.)
Si bien las pruebas de penetración demuestran ser efectivas en la seguridad de las redes, la técnica no se traduce naturalmente hacia las aplicaciones.
Cuando se realiza una prueba de penetración en redes y sistemas operativos, la mayoría del trabajo implica encontrar y explotar vulnerabilidades conocidas en tecnologías específicas.
Como las aplicaciones web son casi exclusivamente hechas a medida, las pruebas de penetración en este campo son más parecidas a una investigación pura.
Se han desarrollado herramientas para automatizar el proceso, pero dada la naturaleza de las aplicaciones web, su efectividad es usualmente baja.
* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Estructura de Trabajo para Pruebas de OWASP
Se describe una estructura típica de pruebas a desplegar en una organización:
Fase 1: Antes de iniciar de desarrollo
● Fase 1.1: Definir un SDLC● Fase 1.2: Revisar las políticas y estándares● Fase 1.3: Desarrollar criterios de medidas y métricas y asegurar
trazabilidad
Fase 2: Durante la definición y diseño
● Fase 2.1: Revisión de requerimientos en seguridad● Fase 2.2: Revisión del diseño y arquitectura● Fase 2.3: Crear y revisar modelos UML● Fase 2.4: Crear y revisar modelos de amenazas
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Estructura de Trabajo para Pruebas de OWASP
Fase 3: Durante el desarrollo
● Fase 3.1: Recorrer a través del código● Fase 3.2: Revisión del código
Fase 4: Durante el despliegue
● Fase 4.1: Pruebas de penetración contra la aplicación● Fase 4.1: Pruebas de gestión de la configuración
Fase 5: Mantenimiento y operaciones
● Fase 5.1: Realizar revisiones de gestión operacional● Fase 5.2: Realizar verificaciones periódicas de bienestar● Fase 5.3: Asegurar verificación de cambios
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Un Típico Flujo de Trabajo para Probar SDLC
* A Typical SDLC Testing Workflow: https://www.owasp.org/index.php/The_OWASP_Testing_Framework#A_Typical_SDLC_Testing_Workflow
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Pruebas de Seguridad a Aplicaciones web
Es un método para evaluar la seguridad de un sistema de cómputo o red, mediante una validación metodológica, y verificando la efectividad de los controles de seguridad en la aplicación.
Una prueba de seguridad contra aplicaciones web se enfoca únicamente en evaluar la seguridad de una aplicación web. El proceso involucra análisis activo de la aplicación por debilidades, fallas técnicas, o vulnerabilidades.
Cualquier inconveniente encontrado será presentado al propietario del sistema, junto con una evaluación del impacto, y una propuesta para mitigarlo o una solución técnica.
* Testing: Introduction and objectives: https://www.owasp.org/index.php/Testing:_Introduction_and_objectives
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Metodología de Pruebas de OWASP
Las pruebas de seguridad nunca serán una ciencia exacta, donde se pueda definir una lista completa de todos los posibles inconvenientes a ser evaluados. De hecho, las pruebas de seguridad son únicamente una técnica apropiada para probar la seguridad de las aplicaciones web, bajo ciertas circunstancias.
El objetivo del proyecto es recopilar todas las técnicas de pruebas posibles, explicar las técnicas, y mantener la guía actualizada. El método de prueba de seguridad contra aplicaciones web de OWASP, se basa en la perspectiva de caja negra. En donde el profesional no conoce nada o tiene poca información sobre la aplicación a ser evaluada.
El modelo está constituido de; el profesional, herramientas y metodologías, y la aplicación.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Lista de Verificación de Pruebas
La siguiente es un resumen de la lista de controles a evaluar durante las pruebas.
● Captura de Información (Information Gathering)● Pruebas de Gestión de las Configuración y Despliegue
(Configuration and Deploy Management Testing)● Pruebas de Gestión de Identidad (Identity Management
Testing)● Pruebas de Autenticación (Authentication Testing)● Pruebas de Autorización (Authorization Testing)● Pruebas de Gestión de la Sesión (Session Management Testing)● Pruebas de Validación de Datos (Data Validation Testing)● Manejo de Error (Error Handling)● Criptografía (Cryptography)● Pruebas de la Lógica de la Empresa (Business Logic Testing)● Pruebas del Lago del Cliente (Client Side Testing) * Testing Checklist: https://www.owasp.org/index.php/Testing_Checklist
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Captura de Información
Probar por captura de información incluye los siguientes artículos:
● Realizar Descubrimiento en Motores de Búsqueda y Reconocimiento por Fuga de Información
● Obtener la Huella del Servidor Web● Revisar Metaarchivos del Servidor Web por Exposición de
Información● Enumerar las Aplicaciones en el Servidor Web● Revisar los Comentarios y Metadatos de la Página Web por
Exposición de Información● Identificar Puntos de Entrada a la Aplicación● Mapear Rutas de Ejecución a través de la Aplicación● Obtener la Huella del Framework de la Aplicación Web● Obtener una Huella de la Aplicación Web● Mapa de la Arquitectura de la Aplicación
* Testing for Information Gathering: https://www.owasp.org/index.php/Testing_Information_Gathering
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Curso Virtual Hacking Aplicaciones Web 2019
Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: [email protected] Sitio web: http://www.reydes.com
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Demostraciones
.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Cursos Virtuales Disponibles en Video
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Curso Virtual de Hacking Éticohttp://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Curso Virtual de Hacking Aplicaciones Webhttp://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Curso Virtual de Informática Forensehttp://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Curso Virtual Hacking con Kali Linuxhttp://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
Curso Virtual OSINT - Open Source Intelligencehttp://www.reydes.com/d/?q=Curso_de_OSINT
Curso Virtual Forense de Redeshttp://www.reydes.com/d/?q=Curso_Forense_de_Redes
Y todos los cursos virtuales:
http://www.reydes.com/d/?q=cursos
Más Contenidos
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: [email protected]
Videos de 44 webinars gratuitos
http://www.reydes.com/d/?q=videos
Diapositivas de los webinars gratuitos
http://www.reydes.com/d/?q=node/3
Artículos y documentos publicados
http://www.reydes.com/d/?q=node/2
Blog sobre temas de mi interés.
http://www.reydes.com/d/?q=blog/1
Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: [email protected]
Jueves 31 de Enero del 2019Web
inar
Gra
tuit
o Guía de Pruebas de OWASP