SlideShare ist ein Scribd-Unternehmen logo
1 von 62
Downloaden Sie, um offline zu lesen
Seguridad Web
                       Firefox y OWASP Top10
                                    (2010RC1)

                                  Alejandro Ramos
                                       CISSP, CISA




                            SbD
UCA – Noviembre 2009       securitybydefault.com
OWASP


 • Open Web Application Security Project
 • Comunidad mundial abierta (130 capítulos)
 • Mejora de la seguridad de apps
 • Sin ánimo de lucro
 • Desarrollo de herramientas,
   documentación, estudios
 • Algunos proyectos: Testing Guide,
   WebScarab, ESAPI, Code Review, Top10

                         http://www.owasp.org
Seguridad Web OWASP y Firefox
UCA – Nov09
                                                SbD
Owasp TOP10 2010 (RC1)

                                A1 – Injection

 • 10 riesgos más               A2 – Cross Site Scripting (XSS)

   importantes.                 A3 – Broken Authentication and Session
                                Management
 • Versión anterior de 2007     A4 – Insecure Direct Object References
   (2003, 2004)                 A5 – Cross Site Request Forgery (CSRF)

 • HOT! HOT! Liberada el 13     A6 – Security Misconfiguration (NEW)

   de noviembre en OWASP        A7 – Failure to Restrict URL Access
   AppSec DC.                   A8 – Unvalidated Redirects and Forwards
                                (NEW)
 • WARNING: los riesgos no      A9 – Insecure Cryptographic Storage
   solo se limitan a 10!        A10 – Insufficient Transport Layer
                                Protection


http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                     SbD
Owasp Top10 FireFox
¿ Firefox?
         • Navegador libre desarrollado por la Corp. Mozilla, la
         Fundación Mozilla y desarrolladores externos
         • Multiplataforma
         • Motor de renderizado “Gecko”
         • Soporte de extensiones
 SecuritybyDefault.com




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                          SbD
FFHardener 1.1

 • Criptografía:
      – Impide el uso del algoritmo RC4 en sesiones SSL
      – Fuerza el uso de algoritmos seguros (longitud de clave
        superior a 64 / 128)
 • JavaScript:
      – Impide modificación del aspecto de Firefox
      – Deshabilita capacidades de JS potencialmente inseguras
 • Privacidad:
      – Elimina el historial de navegación
      – Borra la caché de paginas web visitadas




                 http://code.google.com/p/sbdtools/downloads/list
Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                    SbD
Perfiles


    • Firefox admite el uso de varios perfiles
    • Las extensiones consumen recursos
      (…demasiados…)
    • Útil para no sobrecargar el navegador
    • Con Firefox cerrado: Firefox –Profile (-P)


                                http://support.mozil
                                la.com/es/kb/Manag
                                ing+profiles


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                  SbD
FireCat



  • Febrero 2007: “Turning Firefox to an ethical
    hacking platform”
  • Paquete de extensiones enfocadas al
    análisis de seguridad de aplicaciones web
  • Compuesta por más de 40 utilidades
    (demasiadas…)
  • Mantenida por Security-Database.com


  http://www.security-database.com/toolswatch/FireCAT-1-5-released.html

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                               SbD
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
Instalación de extensiones




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                  SbD
A1.- INJECTION


Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A1.- Injection

    • Explota una aplicación que construye una
      consulta con los datos introducidos por el
      usuario sin previa validación, modificando la
      lógica de la aplicación.

    • Mediante SQL, OS Shell, LDAP, XPATH, etc

    • Muchas aplicaciones actualmente vulnerables

    • Impacto: lectura/escritura completa de una
      base de datos, ejecución de comandos, acceso a
      credenciales.

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                    SbD
SQL Inject-Me




Seguridad Web OWASP y Firefox
UCA – Nov09
                                      SbD
Tamper Data




Seguridad Web OWASP y Firefox
UCA – Nov09
                                    SbD
A1 – Injection - Contramedidas


  • Recomendaciones
     – Utilizar un API segura de validación de datos
       mediante parámetros
     – Escapar caracteres siguiendo rutinas como
       ESAPI de OWASP
     – Uso de listas blancas


  • Referencias
     – http://www.owasp.org/index.php/SQL_Injection
       _Prevention_Cheat_Sheet


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                       SbD
A2.- CROSS SITE SCRIPTING
      (XSS)
Seguridad Web OWASP y Firefox
UCA – Nov09
                                  SbD
A2.- Cross Site Scripting


    • Inserción de código en la página generada por
      una aplicación web.

    • Falta de validación de datos introducidos por el
      usuario.

    • Reflejados o almacenados en bbdd

    • Impacto:    permite   el   control    total  del
      navegador, robo de sesiones, redirección a otras
      páginas.

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                      SbD
XSS Me




Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
HackBar




Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A2 – Cross Site Scripting - Contramedidas



  • Recomendaciones
     – No mostrar contenido generado con los datos
       introducidos por el usuario.
     – Codificar los datos de entrada (escapar). Ej
       OWASP-ESAPI.
     – Uso de validación mediante listas blancas.


  • Referencias
     – http://www.owasp.org/index.php/XSS_(Cross_S
       ite_Scripting)_Prevention_Cheat_Sheet

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                 SbD
A3.- BROKEN
      AUTHENTICATION AND
      SESSION MANGEMENT
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A3.- Broken Authentication and session mangement



    • Incorrecta   gestión   de    funciones   de
      autenticación como: recordar contraseña,
      desconectar, recuperar contraseña, pregunta
      secreta.

    • Ataques de fuerza bruta, enumeración de
      usuarios, predicción de sesiones, etc.

    • Impacto: robo de credenciales, suplantación de
      identidad


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                 SbD
iMacros




Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
Add ‘n’ Edit Cookies




Seguridad Web OWASP y Firefox
UCA – Nov09
                                            SbD
LiveHTTPHeaders




Seguridad Web OWASP y Firefox
UCA – Nov09
                                        SbD
A3 – Broken Authentication and Session Mangement -
                                                          Contramedidas

• Recomendaciones
   – Simplificar proceso de autenticación
   – Uso de la sesión estándar del sistema. Ej
     JSESSIONID
   – Uso de SSL en cada vez que se transmita la sesión

• Verificaciones
   – No existen herramientas automáticas.
   – Verificación del certificado SSL
   – Comprobación de las funciones de autenticación
   – Verificar que la función “desconectar”, destruye la
     sesión

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                SbD
A4.- INSECURE DIRECT
      OBJECT REFERENCES
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A4.- Insecure Direct Object References


    • Denominado “control de acceso en la capa de
      presentación”.

    • No mostrar información que realmente está
      publicada (mediante la falta de referencias)

    • Similar a A7 (Failure to Restrict URL Access)

    • Impacto: acceso a recursos confidenciales,
      información sensible o datos personales.


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                              SbD
Unlinker

  •También A6 Security Misconfiguration
  •Ejemplos aproximados …por eso de ver la
  extensión…




Seguridad Web OWASP y Firefox
UCA – Nov09
                                             SbD
RefControl




Seguridad Web OWASP y Firefox
UCA – Nov09
                                   SbD
A4 – Insecure Direct Object References - Contramedidas



  • Recomendaciones
     – Mapeo de valores de la URL. Ej:
              • &download=1 -> &download=34cb04e932
              • &download=2 -> &download=48add501ef

  • Validaciones
     – Verificar que el valor es correcto
     – Comprobar que el usuario tiene permiso sobre
       el recurso
     – Verificar el tipo de permiso (lectura, escritura,
       borrado)

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                 SbD
A5.- CROSS SITE REQUEST
      FORGERY
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A5.- Cross Site Request Forgery



    • Un usuario es engañado para pulsar sobre un
      enlace web.

    • Este ejecuta una acción en esa web utilizando
      las credenciales de su usuario (session, IP,
      dominio de windows, etc)

    • Impacto: común para transferencias bancarias,
      acceder información confidencial, cambio de los
      detalles de una cuenta, etcétera


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                       SbD
Ejemplo CSRF


 • Una trasferencia bancaria se realiza
   mediante la petición:
      – http://www.banco.com/transfer.jsp?cuenta_desti
        no=xxxx&cantidad=nnn


 • Si el enlace es pulsado sin autenticación, la
   aplicación mostrará un error.

 • Mediante el envío del enlace a un usuario de
   “banco.com” por correo, este realizará la
   transferencia ya que su sesión es válida
Seguridad Web OWASP y Firefox
UCA – Nov09
                                                 SbD
A5.- Cross Site Request Forgery - Contramedidas

 • Recomendaciones
    – Añadir un token a todas las URLs que ejecuten
      funciones
    – El token ha de ser generado criptográficamente
      con un algoritmo seguro
    – ¡OJO!: el token no debe mostrarse en la
      cabecera “Referer”
    -En el ejemplo atenrior:
      http://www.banco.com/transfer.jsp?cuenta_desti
      no=xxxx&cantidad=nnn&token=adf02e764f

      http://www.owasp.org/index.php/CSRF_Prevention_Cheat_S
        heet
Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                  SbD
A6.- SECURITY
      MISCONFIGURATION
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A6.- Security Misconfiguration



    • Errores en configuraciones por defecto.

    • Sistemas Operativos y Servicios no fortificados.

    • Falta de otros elementos de seguridad (firewalls,
      ids/ips, segmentación de red)

    • Impacto: acceso completo al sistema, lectura
      de ficheros o configuraciones.



Seguridad Web OWASP y Firefox
UCA – Nov09
                                                      SbD
EXIF Viewer

  •Realmente “Information Leakage”, no está en Top10-
  2010




          Pero queremos ver a ¡¡¡ Cat Schwartz !!!

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                  SbD
A6.- Security Misconfiguration - Contramedidas


  • Recomendaciones
     – Implantar guía de seguridad (fortificación)
     – Contemplar todos los elementos: ssoo,
       servicios, elementos de red
     – Contemplar la seguridad cuando se hagan
       cambios en la arquitectura


  • Validaciones
     – Verificar configuraciones
     – Chequear niveles de parcheado


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                      SbD
A7.- FAILURE TO RESTRICT
      URL ACCESS
Seguridad Web OWASP y Firefox
UCA – Nov09
                                 SbD
A7.- Failure to Restrict URL Access



    • Acceso a funciones de la aplicación de distintos
      roles:
        • www.url.com/listusers.jsp (rol 1)
        • www.url.com/adduser.jsp?user=aramosf (rol 2)


    • Impacto: acceso a información, funciones y
      servicios para los que no se dispone de
      permisos.
       • Escalada de privilegios (Usuarios anónimos a
         zonas que requieren credenciales)
       • Escalada de privilegios horizontal

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                            SbD
User-Agent Switcher

  •Una demo un poco justa…




Seguridad Web OWASP y Firefox
UCA – Nov09
                                            SbD
A7.- Failure To Restrict URL Access - Contramedidas



  • Recomendaciones para cada URL:
     – Verificar el rol en la sesión, pero no en un
       parámetro de la sesión
     – No basar la seguridad en ocultar enlaces de
       los menús.


  • Validaciones
     – Comprobaciones manuales
     – Verificar el acceso a ficheros no autorizados


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                  SbD
A8.- UNVALIDATED
      REDIRECTS AND FORWARDS
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A8.- Unvalidated Redirects And Forwards




    • Redirección de una zona de la aplicación a otra
      mediante un parámetro de la URL.

    • Si el parámetro no es validado se podría redirigir
      al usuario a una página externa.

    • Impacto: redirección a una página de malware
      o phishing.



Seguridad Web OWASP y Firefox
UCA – Nov09
                                                               SbD
LiveHTTPHeaders




Seguridad Web OWASP y Firefox
UCA – Nov09
                                        SbD
A8.- Unvalidated Redirects and Forwards - Contramedidas




  • Recomendaciones
     – Eliminar siempre que se puedan las
       redirecciones
     – Si se usan, NO utilizar parámetros introducidos
       por el usuario
     – En el peor de los casos: validación de los
       parámetros




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                               SbD
A9.- INSECURE
      CRYPTOGRAPHIC STORAGE
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A9.- Insecure Cryptographic Storage




    • Incorrecta identificación y gestión de                 la
      información sensible y donde se almacena.

    • Impacto: acceso y modificación de información
      confidencial




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                           SbD
SWF Catcher

  •Otra demo un agarradita por los pelos …




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                 SbD
Decompilación y análisis de SWF




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                       SbD
A9.- Insecure Cryptographic Storage - Contramedidas



  • Recomendaciones
     – Uso de cifrado en todos los elementos
       sensibles: registros, ficheros, directorios,
       copias de seguridad.
     – Selección de un algoritmo de cifrado seguro.


  • Validaciones
     – Rotación de claves periódica.
     – Almacén seguro de las claves.


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                 SbD
A10.- INSUFFICIENT TRANSPORT
  LAYER PROTECTION
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
A10.- Insufficient Transport Layer Protection




    • Identificación incorrecta de los puntos desde los
      que se transmite información sensible: entre
      sistemas      internos,    bases     de    datos,
      proveedores/clientes.

    • Impacto:            acceso     y   modificación       de    datos
      sensible




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                     SbD
Cookie Security Inspector




Seguridad Web OWASP y Firefox
UCA – Nov09
                                                 SbD
A10.- Insufficient Transport Layer - Contramedidas


 • Recomendaciones
    – Uso de TLS en las conexiones
    – Cifrado y firmado de mensajes antes de su
      transmisión: XML-Encryption / XML-Signature
    – Deshabilitar algoritmos antiguos de SSL
    – Gestión correcta de certificados/contraseñas

 • Referencias
    http://www.owasp.org/index.php/Transport_Layer_
      Protection_Cheat
      _Sheet

Seguridad Web OWASP y Firefox
UCA – Nov09
                                                                   SbD
OBTENCIÓN DE EVIDENCIAS


Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
Obtención de Evidencias




    • Cada hallazgo durante el análisis debe quedar
      registrado y evidenciado



    • Mediante capturas de pantalla



    • O videos con el proceso de          detección   y
      explotación de la vulnerabilidad.


Seguridad Web OWASP y Firefox
UCA – Nov09
                                                    SbD
FireShot




Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
CaptureFox




Seguridad Web OWASP y Firefox
UCA – Nov09
                                   SbD
Seguridad Web OWASP y Firefox
UCA – Nov09
                                SbD
Owasp Top10 FireFox

Weitere ähnliche Inhalte

Andere mochten auch

Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturasSamis Ambrocio
 
Apresentando o Windows Server 2008 R2
Apresentando o Windows Server 2008 R2Apresentando o Windows Server 2008 R2
Apresentando o Windows Server 2008 R2Rodrigo Immaginario
 
Cissp Week 24
Cissp Week 24Cissp Week 24
Cissp Week 24jemtallon
 
CISSP - TELECOM apresentada no CNASI 2013
CISSP - TELECOM apresentada no CNASI 2013CISSP - TELECOM apresentada no CNASI 2013
CISSP - TELECOM apresentada no CNASI 2013Adilson Da Rocha
 
CISSP week 26
CISSP week 26CISSP week 26
CISSP week 26jemtallon
 
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...Cláudio Dodt
 
CISSP Week 22
CISSP Week 22CISSP Week 22
CISSP Week 22jemtallon
 
CISSP Week 7
CISSP Week 7CISSP Week 7
CISSP Week 7jemtallon
 
Slide Deck CISSP Class Session 4
Slide Deck CISSP Class Session 4Slide Deck CISSP Class Session 4
Slide Deck CISSP Class Session 4FRSecure
 
CISSP Week 6
CISSP Week 6CISSP Week 6
CISSP Week 6jemtallon
 
What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP) What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP) CBIZ, Inc.
 
Slide Deck Class Session 8 – FRSecure CISSP Mentor Program
Slide Deck Class Session 8 – FRSecure CISSP Mentor ProgramSlide Deck Class Session 8 – FRSecure CISSP Mentor Program
Slide Deck Class Session 8 – FRSecure CISSP Mentor ProgramFRSecure
 
Slide Deck CISSP Class Session 7
Slide Deck CISSP Class Session 7Slide Deck CISSP Class Session 7
Slide Deck CISSP Class Session 7FRSecure
 
Slide Deck Class Session 10 – FRSecure CISSP Mentor Program
Slide Deck Class Session 10 – FRSecure CISSP Mentor ProgramSlide Deck Class Session 10 – FRSecure CISSP Mentor Program
Slide Deck Class Session 10 – FRSecure CISSP Mentor ProgramFRSecure
 

Andere mochten auch (16)

Evaluacion de arquitecturas
Evaluacion de arquitecturasEvaluacion de arquitecturas
Evaluacion de arquitecturas
 
Pruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open SourcePruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open Source
 
Apresentando o Windows Server 2008 R2
Apresentando o Windows Server 2008 R2Apresentando o Windows Server 2008 R2
Apresentando o Windows Server 2008 R2
 
Cissp Week 24
Cissp Week 24Cissp Week 24
Cissp Week 24
 
CISSP - TELECOM apresentada no CNASI 2013
CISSP - TELECOM apresentada no CNASI 2013CISSP - TELECOM apresentada no CNASI 2013
CISSP - TELECOM apresentada no CNASI 2013
 
CISSP week 26
CISSP week 26CISSP week 26
CISSP week 26
 
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
 
CISSP Week 22
CISSP Week 22CISSP Week 22
CISSP Week 22
 
Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)
 
CISSP Week 7
CISSP Week 7CISSP Week 7
CISSP Week 7
 
Slide Deck CISSP Class Session 4
Slide Deck CISSP Class Session 4Slide Deck CISSP Class Session 4
Slide Deck CISSP Class Session 4
 
CISSP Week 6
CISSP Week 6CISSP Week 6
CISSP Week 6
 
What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP) What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP)
 
Slide Deck Class Session 8 – FRSecure CISSP Mentor Program
Slide Deck Class Session 8 – FRSecure CISSP Mentor ProgramSlide Deck Class Session 8 – FRSecure CISSP Mentor Program
Slide Deck Class Session 8 – FRSecure CISSP Mentor Program
 
Slide Deck CISSP Class Session 7
Slide Deck CISSP Class Session 7Slide Deck CISSP Class Session 7
Slide Deck CISSP Class Session 7
 
Slide Deck Class Session 10 – FRSecure CISSP Mentor Program
Slide Deck Class Session 10 – FRSecure CISSP Mentor ProgramSlide Deck Class Session 10 – FRSecure CISSP Mentor Program
Slide Deck Class Session 10 – FRSecure CISSP Mentor Program
 

Ähnlich wie Owasp Top10 FireFox

Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web securityLuis Toscano
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003Internet Security Auditors
 
Seguridad Entornos Web Open Source
Seguridad Entornos Web Open SourceSeguridad Entornos Web Open Source
Seguridad Entornos Web Open SourceVictor M. Fernández
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Symfony-Community: Introducción a Symfony Framework
Symfony-Community: Introducción a Symfony FrameworkSymfony-Community: Introducción a Symfony Framework
Symfony-Community: Introducción a Symfony Frameworkexcedesoft
 
Subgraph vega web vulnerability scanner
Subgraph vega   web vulnerability scannerSubgraph vega   web vulnerability scanner
Subgraph vega web vulnerability scannerTensor
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vegaTensor
 
World wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajoWorld wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajobellaniraam
 
World wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajoWorld wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajobellaniraam
 
World wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajoWorld wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajobellaniraam
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 

Ähnlich wie Owasp Top10 FireFox (20)

Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web security
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
 
Documentación Web application firewall
Documentación Web application firewallDocumentación Web application firewall
Documentación Web application firewall
 
Seguridad Entornos Web Open Source
Seguridad Entornos Web Open SourceSeguridad Entornos Web Open Source
Seguridad Entornos Web Open Source
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Symfony-Community: Introducción a Symfony Framework
Symfony-Community: Introducción a Symfony FrameworkSymfony-Community: Introducción a Symfony Framework
Symfony-Community: Introducción a Symfony Framework
 
Subgraph vega web vulnerability scanner
Subgraph vega   web vulnerability scannerSubgraph vega   web vulnerability scanner
Subgraph vega web vulnerability scanner
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
 
World wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajoWorld wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajo
 
World wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajoWorld wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajo
 
World wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajoWorld wideweb navegadores tercer trabajo
World wideweb navegadores tercer trabajo
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
OWASP Top 10 101 en Java EE
OWASP Top 10 101 en Java EEOWASP Top 10 101 en Java EE
OWASP Top 10 101 en Java EE
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 

Mehr von Alejandro Ramos

Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)
Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)
Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)Alejandro Ramos
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Cookies y otras tecnologías de monitorización en internet
Cookies y otras tecnologías de monitorización en internetCookies y otras tecnologías de monitorización en internet
Cookies y otras tecnologías de monitorización en internetAlejandro Ramos
 
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Alejandro Ramos
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
Te pique lo que te pique, analiza un SQLite
Te pique lo que te pique, analiza un SQLiteTe pique lo que te pique, analiza un SQLite
Te pique lo que te pique, analiza un SQLiteAlejandro Ramos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows -  Resolución Reto I de DragonjarForense en windows -  Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAlejandro Ramos
 
Advanced password cracking
Advanced password crackingAdvanced password cracking
Advanced password crackingAlejandro Ramos
 
Seguridad en PDF: Adobe ¬¬
Seguridad en PDF: Adobe ¬¬Seguridad en PDF: Adobe ¬¬
Seguridad en PDF: Adobe ¬¬Alejandro Ramos
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa   stuxnetJornada de ciberdefensa   stuxnet
Jornada de ciberdefensa stuxnetAlejandro Ramos
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Alejandro Ramos
 
Seguridad en PDF - Adobe ¬¬
Seguridad en PDF - Adobe ¬¬Seguridad en PDF - Adobe ¬¬
Seguridad en PDF - Adobe ¬¬Alejandro Ramos
 
Fist - Negocio Pirateria
Fist - Negocio PirateriaFist - Negocio Pirateria
Fist - Negocio PirateriaAlejandro Ramos
 

Mehr von Alejandro Ramos (20)

Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)
Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)
Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
Cookies y otras tecnologías de monitorización en internet
Cookies y otras tecnologías de monitorización en internetCookies y otras tecnologías de monitorización en internet
Cookies y otras tecnologías de monitorización en internet
 
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS) Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
 
Te pique lo que te pique, analiza un SQLite
Te pique lo que te pique, analiza un SQLiteTe pique lo que te pique, analiza un SQLite
Te pique lo que te pique, analiza un SQLite
 
Shodab
ShodabShodab
Shodab
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows -  Resolución Reto I de DragonjarForense en windows -  Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux Server
 
Advanced password cracking
Advanced password crackingAdvanced password cracking
Advanced password cracking
 
Seguridad en PDF: Adobe ¬¬
Seguridad en PDF: Adobe ¬¬Seguridad en PDF: Adobe ¬¬
Seguridad en PDF: Adobe ¬¬
 
Wargame
WargameWargame
Wargame
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa   stuxnetJornada de ciberdefensa   stuxnet
Jornada de ciberdefensa stuxnet
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010
 
Seguridad en PDF - Adobe ¬¬
Seguridad en PDF - Adobe ¬¬Seguridad en PDF - Adobe ¬¬
Seguridad en PDF - Adobe ¬¬
 
Rooted2010 Otp
Rooted2010 OtpRooted2010 Otp
Rooted2010 Otp
 
Fist - Negocio Pirateria
Fist - Negocio PirateriaFist - Negocio Pirateria
Fist - Negocio Pirateria
 
Seguridad en Bluetooth
Seguridad en BluetoothSeguridad en Bluetooth
Seguridad en Bluetooth
 
DNI-E
DNI-EDNI-E
DNI-E
 

Kürzlich hochgeladen

Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 

Kürzlich hochgeladen (20)

Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 

Owasp Top10 FireFox

  • 1. Seguridad Web Firefox y OWASP Top10 (2010RC1) Alejandro Ramos CISSP, CISA SbD UCA – Noviembre 2009 securitybydefault.com
  • 2. OWASP • Open Web Application Security Project • Comunidad mundial abierta (130 capítulos) • Mejora de la seguridad de apps • Sin ánimo de lucro • Desarrollo de herramientas, documentación, estudios • Algunos proyectos: Testing Guide, WebScarab, ESAPI, Code Review, Top10 http://www.owasp.org Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 3. Owasp TOP10 2010 (RC1) A1 – Injection • 10 riesgos más A2 – Cross Site Scripting (XSS) importantes. A3 – Broken Authentication and Session Management • Versión anterior de 2007 A4 – Insecure Direct Object References (2003, 2004) A5 – Cross Site Request Forgery (CSRF) • HOT! HOT! Liberada el 13 A6 – Security Misconfiguration (NEW) de noviembre en OWASP A7 – Failure to Restrict URL Access AppSec DC. A8 – Unvalidated Redirects and Forwards (NEW) • WARNING: los riesgos no A9 – Insecure Cryptographic Storage solo se limitan a 10! A10 – Insufficient Transport Layer Protection http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 5. ¿ Firefox? • Navegador libre desarrollado por la Corp. Mozilla, la Fundación Mozilla y desarrolladores externos • Multiplataforma • Motor de renderizado “Gecko” • Soporte de extensiones SecuritybyDefault.com Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 6. FFHardener 1.1 • Criptografía: – Impide el uso del algoritmo RC4 en sesiones SSL – Fuerza el uso de algoritmos seguros (longitud de clave superior a 64 / 128) • JavaScript: – Impide modificación del aspecto de Firefox – Deshabilita capacidades de JS potencialmente inseguras • Privacidad: – Elimina el historial de navegación – Borra la caché de paginas web visitadas http://code.google.com/p/sbdtools/downloads/list Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 7. Perfiles • Firefox admite el uso de varios perfiles • Las extensiones consumen recursos (…demasiados…) • Útil para no sobrecargar el navegador • Con Firefox cerrado: Firefox –Profile (-P) http://support.mozil la.com/es/kb/Manag ing+profiles Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 8. FireCat • Febrero 2007: “Turning Firefox to an ethical hacking platform” • Paquete de extensiones enfocadas al análisis de seguridad de aplicaciones web • Compuesta por más de 40 utilidades (demasiadas…) • Mantenida por Security-Database.com http://www.security-database.com/toolswatch/FireCAT-1-5-released.html Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 9. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 10. Instalación de extensiones Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 11. A1.- INJECTION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 12. A1.- Injection • Explota una aplicación que construye una consulta con los datos introducidos por el usuario sin previa validación, modificando la lógica de la aplicación. • Mediante SQL, OS Shell, LDAP, XPATH, etc • Muchas aplicaciones actualmente vulnerables • Impacto: lectura/escritura completa de una base de datos, ejecución de comandos, acceso a credenciales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 13. SQL Inject-Me Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 14. Tamper Data Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 15. A1 – Injection - Contramedidas • Recomendaciones – Utilizar un API segura de validación de datos mediante parámetros – Escapar caracteres siguiendo rutinas como ESAPI de OWASP – Uso de listas blancas • Referencias – http://www.owasp.org/index.php/SQL_Injection _Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 16. A2.- CROSS SITE SCRIPTING (XSS) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 17. A2.- Cross Site Scripting • Inserción de código en la página generada por una aplicación web. • Falta de validación de datos introducidos por el usuario. • Reflejados o almacenados en bbdd • Impacto: permite el control total del navegador, robo de sesiones, redirección a otras páginas. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 18. XSS Me Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 19. HackBar Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 20. A2 – Cross Site Scripting - Contramedidas • Recomendaciones – No mostrar contenido generado con los datos introducidos por el usuario. – Codificar los datos de entrada (escapar). Ej OWASP-ESAPI. – Uso de validación mediante listas blancas. • Referencias – http://www.owasp.org/index.php/XSS_(Cross_S ite_Scripting)_Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 21. A3.- BROKEN AUTHENTICATION AND SESSION MANGEMENT Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 22. A3.- Broken Authentication and session mangement • Incorrecta gestión de funciones de autenticación como: recordar contraseña, desconectar, recuperar contraseña, pregunta secreta. • Ataques de fuerza bruta, enumeración de usuarios, predicción de sesiones, etc. • Impacto: robo de credenciales, suplantación de identidad Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 23. iMacros Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 24. Add ‘n’ Edit Cookies Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 25. LiveHTTPHeaders Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 26. A3 – Broken Authentication and Session Mangement - Contramedidas • Recomendaciones – Simplificar proceso de autenticación – Uso de la sesión estándar del sistema. Ej JSESSIONID – Uso de SSL en cada vez que se transmita la sesión • Verificaciones – No existen herramientas automáticas. – Verificación del certificado SSL – Comprobación de las funciones de autenticación – Verificar que la función “desconectar”, destruye la sesión Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 27. A4.- INSECURE DIRECT OBJECT REFERENCES Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 28. A4.- Insecure Direct Object References • Denominado “control de acceso en la capa de presentación”. • No mostrar información que realmente está publicada (mediante la falta de referencias) • Similar a A7 (Failure to Restrict URL Access) • Impacto: acceso a recursos confidenciales, información sensible o datos personales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 29. Unlinker •También A6 Security Misconfiguration •Ejemplos aproximados …por eso de ver la extensión… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 30. RefControl Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 31. A4 – Insecure Direct Object References - Contramedidas • Recomendaciones – Mapeo de valores de la URL. Ej: • &download=1 -> &download=34cb04e932 • &download=2 -> &download=48add501ef • Validaciones – Verificar que el valor es correcto – Comprobar que el usuario tiene permiso sobre el recurso – Verificar el tipo de permiso (lectura, escritura, borrado) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 32. A5.- CROSS SITE REQUEST FORGERY Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 33. A5.- Cross Site Request Forgery • Un usuario es engañado para pulsar sobre un enlace web. • Este ejecuta una acción en esa web utilizando las credenciales de su usuario (session, IP, dominio de windows, etc) • Impacto: común para transferencias bancarias, acceder información confidencial, cambio de los detalles de una cuenta, etcétera Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 34. Ejemplo CSRF • Una trasferencia bancaria se realiza mediante la petición: – http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn • Si el enlace es pulsado sin autenticación, la aplicación mostrará un error. • Mediante el envío del enlace a un usuario de “banco.com” por correo, este realizará la transferencia ya que su sesión es válida Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 35. A5.- Cross Site Request Forgery - Contramedidas • Recomendaciones – Añadir un token a todas las URLs que ejecuten funciones – El token ha de ser generado criptográficamente con un algoritmo seguro – ¡OJO!: el token no debe mostrarse en la cabecera “Referer” -En el ejemplo atenrior: http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn&token=adf02e764f http://www.owasp.org/index.php/CSRF_Prevention_Cheat_S heet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 36. A6.- SECURITY MISCONFIGURATION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 37. A6.- Security Misconfiguration • Errores en configuraciones por defecto. • Sistemas Operativos y Servicios no fortificados. • Falta de otros elementos de seguridad (firewalls, ids/ips, segmentación de red) • Impacto: acceso completo al sistema, lectura de ficheros o configuraciones. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 38. EXIF Viewer •Realmente “Information Leakage”, no está en Top10- 2010 Pero queremos ver a ¡¡¡ Cat Schwartz !!! Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 39. A6.- Security Misconfiguration - Contramedidas • Recomendaciones – Implantar guía de seguridad (fortificación) – Contemplar todos los elementos: ssoo, servicios, elementos de red – Contemplar la seguridad cuando se hagan cambios en la arquitectura • Validaciones – Verificar configuraciones – Chequear niveles de parcheado Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 40. A7.- FAILURE TO RESTRICT URL ACCESS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 41. A7.- Failure to Restrict URL Access • Acceso a funciones de la aplicación de distintos roles: • www.url.com/listusers.jsp (rol 1) • www.url.com/adduser.jsp?user=aramosf (rol 2) • Impacto: acceso a información, funciones y servicios para los que no se dispone de permisos. • Escalada de privilegios (Usuarios anónimos a zonas que requieren credenciales) • Escalada de privilegios horizontal Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 42. User-Agent Switcher •Una demo un poco justa… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 43. A7.- Failure To Restrict URL Access - Contramedidas • Recomendaciones para cada URL: – Verificar el rol en la sesión, pero no en un parámetro de la sesión – No basar la seguridad en ocultar enlaces de los menús. • Validaciones – Comprobaciones manuales – Verificar el acceso a ficheros no autorizados Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 44. A8.- UNVALIDATED REDIRECTS AND FORWARDS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 45. A8.- Unvalidated Redirects And Forwards • Redirección de una zona de la aplicación a otra mediante un parámetro de la URL. • Si el parámetro no es validado se podría redirigir al usuario a una página externa. • Impacto: redirección a una página de malware o phishing. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 46. LiveHTTPHeaders Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 47. A8.- Unvalidated Redirects and Forwards - Contramedidas • Recomendaciones – Eliminar siempre que se puedan las redirecciones – Si se usan, NO utilizar parámetros introducidos por el usuario – En el peor de los casos: validación de los parámetros Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 48. A9.- INSECURE CRYPTOGRAPHIC STORAGE Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 49. A9.- Insecure Cryptographic Storage • Incorrecta identificación y gestión de la información sensible y donde se almacena. • Impacto: acceso y modificación de información confidencial Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 50. SWF Catcher •Otra demo un agarradita por los pelos … Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 51. Decompilación y análisis de SWF Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 52. A9.- Insecure Cryptographic Storage - Contramedidas • Recomendaciones – Uso de cifrado en todos los elementos sensibles: registros, ficheros, directorios, copias de seguridad. – Selección de un algoritmo de cifrado seguro. • Validaciones – Rotación de claves periódica. – Almacén seguro de las claves. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 53. A10.- INSUFFICIENT TRANSPORT LAYER PROTECTION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 54. A10.- Insufficient Transport Layer Protection • Identificación incorrecta de los puntos desde los que se transmite información sensible: entre sistemas internos, bases de datos, proveedores/clientes. • Impacto: acceso y modificación de datos sensible Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 55. Cookie Security Inspector Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 56. A10.- Insufficient Transport Layer - Contramedidas • Recomendaciones – Uso de TLS en las conexiones – Cifrado y firmado de mensajes antes de su transmisión: XML-Encryption / XML-Signature – Deshabilitar algoritmos antiguos de SSL – Gestión correcta de certificados/contraseñas • Referencias http://www.owasp.org/index.php/Transport_Layer_ Protection_Cheat _Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 57. OBTENCIÓN DE EVIDENCIAS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 58. Obtención de Evidencias • Cada hallazgo durante el análisis debe quedar registrado y evidenciado • Mediante capturas de pantalla • O videos con el proceso de detección y explotación de la vulnerabilidad. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 59. FireShot Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 60. CaptureFox Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 61. Seguridad Web OWASP y Firefox UCA – Nov09 SbD