SlideShare ist ein Scribd-Unternehmen logo

Intro Guía de Testing OWASP

R
Ramón Salado Lucena

Presentación de la conferencia "Introducción a la Guía de Testing 4 de OWASP" en OWASP Sevilla 5.

Internet
1 von 24
4
Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado
3 Agosto 2015 Pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Presenta una metodología que recorre de forma organizada y sistemática todas las posibles áreas que supongan vectores de ataque a una aplicación web. Organiza la auditoria en etapas según el estado de madurez en el desarrollo de la aplicación. Propone un framework de pruebas donde se identifican y detallan los puntos de control sobre los que se aplicarán los tests correspondientes.
En Castellano versión 3.0 (2009) Acuerdo Colaboración con UPO 3 Agosto 2015
CICLO DE VIDA Y FRAMEWORK DE PRUEBAS No existe una bala de plata Pensar estratégicamente, no tácticamente El SDLC es el rey Prueba de detección temprana y la prueba de frecuencia Comprender el alcance de la seguridad Entender la situación Utilice las herramientas adecuadas El diablo está en los detalles Usa Código Fuente si está disponible Desarrolla métricas Documentar los resultados de la prueba PRINCIPIOS DEL TESTING PERSONAS, PROCESOS y TECNOLOGÍA
TESTING FRAMEWORK WORK FLOW Esta sección describe un marco de pruebas típico que pueden ser desarrollado dentro de una organización. Fase 1: Antes de que comience el desarrollo ↘ Revisar SDLC (Systems Development Life Cycle) ↘ Desarrollar métricas y asegurar Trazabilidad Fase 2: Durante el diseño y definición ↘ Revisión de requisitos de seguridad. ↘ Revisión de diseño y arquitectura ↘ Crear y revisar modelos UML (Leng. Unif. Modelad) ↘ Crear y revisar modelos de amenaza Fase 3: Durante el desarrollo ↘ Code Walkthrough (itinerario proceso de revisión) ↘ Revisiones de código Fase 4: Durante la implementación ↘ Penetration Testing ↘ Management Testing Fase 4: Mantenimiento y operaciones ↘ Revisiones de gestión ↘ Verificación de cambios
WEB APPLICATION SECURITY TESTING Information Gathering Identity Management Testing Authorization Testing Input Validation Testing Cryptography Client Side Testing Config. & Deploy Management Authentication Testing Session Management Testing Error Handling Business Logic Testing ENJOY ;)
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
WEB APPLICATION SECURITY TESTING
Hay elementos directos e indirectos para el descubrimiento con motores de búsqueda: ↘ Métodos directos se refieren a los índices de la búsqueda y el contenido asociado de cachés. ↘ Métodos indirectos se refieren a información sensible del diseño y configuración, buscando foros, grupos de noticias y otros sitios web. Una vez que un robot del motor de búsqueda ha terminado de recórrela, comienza la indexación de la página web basada en etiquetas y atributos asociados, con el fin de devolver los resultados de búsqueda relevantes. Si el archivo robots.txt no se actualiza durante la vida útil del sitio web y es posible que los índices de contenido de la web, incluyan archivos no deseados.
Tools: ↘ FoundStone SiteDigger ↘ Google Hacker ↘ Stach & Liu’s Google Hacking Diggity Project ↘ PunkSPIDER
Obtener las Huellas de un Servidor Web es una tarea fundamental para un test de penetración. Conocer la versión y el tipo de un servidor web en ejecución permite analistas determinar vulnerabilidades conocidas y las técnicas apropiadas para usar durante la prueba. Esta información puede obtenerse enviando al servidor web comandos específicos y analizando la salida, cada versión del software del servidor web puede responder diferente a estas consultas. $ nc 202.41.76.251 80 HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Mon, 16 Jun 2003 02:53:29 GMT Server: Apache/1.3.3 (Unix) (Red Hat) Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT ETag: “1813-49b-361b4df6” Accept-Ranges: bytes Content-Length: 1179 Connection: close Content-Type: text/html HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Expires: Yours, 17 Jun 2003 01:41: 33 GMT Date: Mon, 16 Jun 2003 01:41: 33 GMT Content-Type: text/HTML Accept-Ranges: bytes Last-Modified: Wed, 28 May 2003 15:32: 21 GMT ETag: b0aac0542e25c31: 89d Content-Length: 7369 HTTP/1.1 200 OK Server: Sun-ONE-Web-Server/6.1 Date: Tue, 16 Jan 2007 14:53:45 GMT Content-length: 1186 Content-type: text/html Date: Tue, 16 Jan 2007 14:50:31 GMT Last-Modified: Wed, 10 Jan 2007 09:58:26 GMT Accept-Ranges: bytes Connection: close
Tools: ↘ httprint ↘ httprecon ↘ Netcraft ↘ Desenmascarame
El archivo robots.txt se utiliza para bloquear el acceso a determinados directorios de spiders, robots o crawlers.Esta sección describe cómo probar el archivo robots.txt para evitar fugas de información de la ruta o rutas directorio o carpeta de la aplicación web
Intro Guía de Testing OWASP

Empfohlen

Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
Tensor
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
Anel Sosa
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
Gema López
 
Evaluación - Test de penetracion
Evaluación - Test de penetracionEvaluación - Test de penetracion
Evaluación - Test de penetracion
rodmonroyd
 

Empfohlen

Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
Tensor
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
Anel Sosa
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
Gema López
 
Evaluación - Test de penetracion
Evaluación - Test de penetracionEvaluación - Test de penetracion
Evaluación - Test de penetracion
rodmonroyd
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web Seguras
Héctor Garduño Real
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Javier Antunez / CISSP / LA27001 / IA9001
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
Alonso Caballero
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
Tensor
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.
Luis Trejos
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
Facultad de Informática UCM
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
v3l3r0f0nt3
 
Antivirus y virus
Antivirus y virusAntivirus y virus
Antivirus y virus
carlete1905
 
Liquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguroLiquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguro
Software Guru
 
Modulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis LopezModulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis Lopez
Gabriel Alfonso Lara Arango
 
Nuestro circuito
Nuestro circuitoNuestro circuito
Nuestro circuito
vikialcaide16
 
Actividad de evaluacion final
Actividad de evaluacion finalActividad de evaluacion final
Actividad de evaluacion final
camiloandresvnz
 
Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»
jenniferb01
 
Lineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectivaLineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectiva
Mary Alcantara
 
Actividad para trabajar la expresión escrita
Actividad para trabajar la expresión escritaActividad para trabajar la expresión escrita
Actividad para trabajar la expresión escrita
Oihanaeu
 
Gallinitas
GallinitasGallinitas
Gallinitas
brayitan0701
 
Visita al le parc
Visita al le parcVisita al le parc
Visita al le parc
revistaescuelasayanca
 
Biografia de Gary Francione
Biografia de Gary Francione Biografia de Gary Francione
Biografia de Gary Francione
Kimberly Yissel Duque Vazquez
 
Maratón fotografica
Maratón fotograficaMaratón fotografica
Maratón fotografica
jenniferb01
 
"Sistemas operativos para ordenador"
"Sistemas operativos para ordenador""Sistemas operativos para ordenador"
"Sistemas operativos para ordenador"
Antolinos
 
Actividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académicoActividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académico
anatasilva
 

Weitere ähnliche Inhalte

Was ist angesagt?

Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
Facultad de Informática UCM
 

Was ist angesagt? (10)

Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web Seguras
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Subgraph vega
Subgraph vegaSubgraph vega
Subgraph vega
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
Lacrest 2012
Lacrest 2012Lacrest 2012
Lacrest 2012
 
Antivirus y virus
Antivirus y virusAntivirus y virus
Antivirus y virus
 
Liquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguroLiquid Day - La importancia del desarrollo seguro
Liquid Day - La importancia del desarrollo seguro
 

Andere mochten auch

Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»
jenniferb01
 
Maratón fotografica
Maratón fotograficaMaratón fotografica
Maratón fotografica
jenniferb01
 

Andere mochten auch (20)

Modulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis LopezModulo 1 tareas de Mtra Greldis Lopez
Modulo 1 tareas de Mtra Greldis Lopez
 
Nuestro circuito
Nuestro circuitoNuestro circuito
Nuestro circuito
 
Actividad de evaluacion final
Actividad de evaluacion finalActividad de evaluacion final
Actividad de evaluacion final
 
Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»Reportaje «diario de un acumulador»
Reportaje «diario de un acumulador»
 
Lineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectivaLineamientos de una presentación atractiva y efectiva
Lineamientos de una presentación atractiva y efectiva
 
Actividad para trabajar la expresión escrita
Actividad para trabajar la expresión escritaActividad para trabajar la expresión escrita
Actividad para trabajar la expresión escrita
 
Gallinitas
GallinitasGallinitas
Gallinitas
 
Visita al le parc
Visita al le parcVisita al le parc
Visita al le parc
 
Biografia de Gary Francione
Biografia de Gary Francione Biografia de Gary Francione
Biografia de Gary Francione
 
Maratón fotografica
Maratón fotograficaMaratón fotografica
Maratón fotografica
 
"Sistemas operativos para ordenador"
"Sistemas operativos para ordenador""Sistemas operativos para ordenador"
"Sistemas operativos para ordenador"
 
Actividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académicoActividad 2 módulo 2 búsquedas con google académico
Actividad 2 módulo 2 búsquedas con google académico
 
El arte
El arteEl arte
El arte
 
Arte presentación del curso y repaso
Arte presentación del curso y repasoArte presentación del curso y repaso
Arte presentación del curso y repaso
 
The taxing of_social_securitytrainingsite
The taxing of_social_securitytrainingsiteThe taxing of_social_securitytrainingsite
The taxing of_social_securitytrainingsite
 
Lindas Imagens
Lindas ImagensLindas Imagens
Lindas Imagens
 
pek. tanah & pasir
pek. tanah & pasirpek. tanah & pasir
pek. tanah & pasir
 
What are the Best Colors for Recruiting Websites
What are the Best Colors for Recruiting WebsitesWhat are the Best Colors for Recruiting Websites
What are the Best Colors for Recruiting Websites
 
Proyecto tunning
Proyecto tunningProyecto tunning
Proyecto tunning
 
Bessere Dashboards
Bessere DashboardsBessere Dashboards
Bessere Dashboards
 

Ähnlich wie Intro Guía de Testing OWASP

Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Priscill Orue Esquivel
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
Alonso Caballero
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1
COLOMA22
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 

Ähnlich wie Intro Guía de Testing OWASP (20)

Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Desarrollo de softwareweb romero
Desarrollo de softwareweb romeroDesarrollo de softwareweb romero
Desarrollo de softwareweb romero
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Paso6 201014 25_colaborativo
Paso6 201014 25_colaborativoPaso6 201014 25_colaborativo
Paso6 201014 25_colaborativo
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1Desarrollo de software orientado a la web1
Desarrollo de software orientado a la web1
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Testing Android Security
Testing Android SecurityTesting Android Security
Testing Android Security
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptx
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 

Mehr von Ramón Salado Lucena

Mehr von Ramón Salado Lucena (6)

SHS2k23
SHS2k23SHS2k23
SHS2k23
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTOR
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 

Intro Guía de Testing OWASP

  • 1. 4
  • 2. Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado
  • 3. 3 Agosto 2015 Pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Presenta una metodología que recorre de forma organizada y sistemática todas las posibles áreas que supongan vectores de ataque a una aplicación web. Organiza la auditoria en etapas según el estado de madurez en el desarrollo de la aplicación. Propone un framework de pruebas donde se identifican y detallan los puntos de control sobre los que se aplicarán los tests correspondientes.
  • 4. En Castellano versión 3.0 (2009) Acuerdo Colaboración con UPO 3 Agosto 2015
  • 5. CICLO DE VIDA Y FRAMEWORK DE PRUEBAS No existe una bala de plata Pensar estratégicamente, no tácticamente El SDLC es el rey Prueba de detección temprana y la prueba de frecuencia Comprender el alcance de la seguridad Entender la situación Utilice las herramientas adecuadas El diablo está en los detalles Usa Código Fuente si está disponible Desarrolla métricas Documentar los resultados de la prueba PRINCIPIOS DEL TESTING PERSONAS, PROCESOS y TECNOLOGÍA
  • 6. TESTING FRAMEWORK WORK FLOW Esta sección describe un marco de pruebas típico que pueden ser desarrollado dentro de una organización. Fase 1: Antes de que comience el desarrollo ↘ Revisar SDLC (Systems Development Life Cycle) ↘ Desarrollar métricas y asegurar Trazabilidad Fase 2: Durante el diseño y definición ↘ Revisión de requisitos de seguridad. ↘ Revisión de diseño y arquitectura ↘ Crear y revisar modelos UML (Leng. Unif. Modelad) ↘ Crear y revisar modelos de amenaza Fase 3: Durante el desarrollo ↘ Code Walkthrough (itinerario proceso de revisión) ↘ Revisiones de código Fase 4: Durante la implementación ↘ Penetration Testing ↘ Management Testing Fase 4: Mantenimiento y operaciones ↘ Revisiones de gestión ↘ Verificación de cambios
  • 7. WEB APPLICATION SECURITY TESTING Information Gathering Identity Management Testing Authorization Testing Input Validation Testing Cryptography Client Side Testing Config. & Deploy Management Authentication Testing Session Management Testing Error Handling Business Logic Testing ENJOY ;)
  • 15.
  • 16.
  • 17.
  • 18.
  • 19. Hay elementos directos e indirectos para el descubrimiento con motores de búsqueda: ↘ Métodos directos se refieren a los índices de la búsqueda y el contenido asociado de cachés. ↘ Métodos indirectos se refieren a información sensible del diseño y configuración, buscando foros, grupos de noticias y otros sitios web. Una vez que un robot del motor de búsqueda ha terminado de recórrela, comienza la indexación de la página web basada en etiquetas y atributos asociados, con el fin de devolver los resultados de búsqueda relevantes. Si el archivo robots.txt no se actualiza durante la vida útil del sitio web y es posible que los índices de contenido de la web, incluyan archivos no deseados.
  • 20. Tools: ↘ FoundStone SiteDigger ↘ Google Hacker ↘ Stach & Liu’s Google Hacking Diggity Project ↘ PunkSPIDER
  • 21. Obtener las Huellas de un Servidor Web es una tarea fundamental para un test de penetración. Conocer la versión y el tipo de un servidor web en ejecución permite analistas determinar vulnerabilidades conocidas y las técnicas apropiadas para usar durante la prueba. Esta información puede obtenerse enviando al servidor web comandos específicos y analizando la salida, cada versión del software del servidor web puede responder diferente a estas consultas. $ nc 202.41.76.251 80 HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Mon, 16 Jun 2003 02:53:29 GMT Server: Apache/1.3.3 (Unix) (Red Hat) Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT ETag: “1813-49b-361b4df6” Accept-Ranges: bytes Content-Length: 1179 Connection: close Content-Type: text/html HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Expires: Yours, 17 Jun 2003 01:41: 33 GMT Date: Mon, 16 Jun 2003 01:41: 33 GMT Content-Type: text/HTML Accept-Ranges: bytes Last-Modified: Wed, 28 May 2003 15:32: 21 GMT ETag: b0aac0542e25c31: 89d Content-Length: 7369 HTTP/1.1 200 OK Server: Sun-ONE-Web-Server/6.1 Date: Tue, 16 Jan 2007 14:53:45 GMT Content-length: 1186 Content-type: text/html Date: Tue, 16 Jan 2007 14:50:31 GMT Last-Modified: Wed, 10 Jan 2007 09:58:26 GMT Accept-Ranges: bytes Connection: close
  • 22. Tools: ↘ httprint ↘ httprecon ↘ Netcraft ↘ Desenmascarame
  • 23. El archivo robots.txt se utiliza para bloquear el acceso a determinados directorios de spiders, robots o crawlers.Esta sección describe cómo probar el archivo robots.txt para evitar fugas de información de la ruta o rutas directorio o carpeta de la aplicación web