Upload
tristeven
View
224
Download
0
Embed Size (px)
DESCRIPTION
Seguridad Informatica
Citation preview
Seguridaden las redes /Web
Temario
Owasp
Owasp Top 10
Situacin en Colombia
Integra la Seguridad a la Gerencia IT
Por Que Hacerlo
Owasp Entrenamiento
Herramientas
Demos
Contramedidas
OWASP
Es un proyecto de cdigo abierto dedicado a determinar y combatir las causas que
hacen que el software sea inseguro.
Orientada a la prestacin de servicios orientados a la Web Sin fines de lucro,
organizacin de voluntarios.
La comunidad OWASP est formada por empresas, organizaciones educativas y
particulares de todo mundo. Juntos constituyen una comunidad de seguridad
informtica que trabaja para crear artculos, metodologas, documentacin,
herramientas y tecnologas que se liberan y pueden ser usadas gratuitamente por
cualquiera.
OWASP
The Open Web Application Security Project
140+ Listas de chequeo, herramientas y guas 150 Captulos locales 20,000 desarrolladores, breakers y defensores Citaciones: NSA, DHS, PCI, NIST, FFIEC, CSA, CIS, DISA, ENISA and more..
OWASP Top 10
El objetivo del proyecto Top 10 es crear
conciencia sobre la seguridad en
aplicaciones mediante la identificacin de
algunos de los riesgos ms crticos que
enfrentan las organizaciones.
OWASP Top 10 - 2013
A1 Inyeccin
A2 Prdida de Autenticacin y Gestin de Sesiones
A3 Secuencia de Comandos en Sitios Cruzados (XSS)
A4 Referencia Directa Insegura a Objetos
A5 Defectuosa Configuracin de Seguridad
A6 Exposicin de Datos Sensibles
A7 Inadecuada Configuracin Funciones nivel de control de
Acceso
A8 Falsificacin de Peticiones en Sitios Cruzados (CSRF)
A9 Uso de Componentes con conocidas vulnerabilidades
A10 Redirecciones y reenvos no validados
Situacin Actual
Situacin Actual
Situacin Actual
Situacin Actual
Situacin en Colombia
PREGUNTAS?
http://www.zone-h.org/Integrar la Seguridad a Gerencia TI
Seguridad como un Proceso Testeos Regulares Outsourcing Testing No desafi a un Hacker
Por que Pentest en sus Propias Aplicaciones
Esto no es tan Duro Numerosas Herramientas Disponibles Ahorra $$$$ Es Divertido
Entienda las Amenazas OWASP BWA Entrenamiento
HERRAMIENTAS
Mantra W3AF Uniscan Nikto JoomScan Plecost SqlMap Havij Owasp Zap VeraCode Burp
WebSecurify WebInspect Acunetix Etc
DEMO
XSS pruebas bsicas Mantra WebSecurify Uniscan W3AF Nikto JoomScan Plecost SqlMap Havij Acunetix Owasp Zap Zombies XSS Vega
XSS Pruebas Bsicas
Hola Mundo alert(123); Me estoy desplazando alert(document.cookie); Me estoy desplazando
Mantra Portable
WebSecurify
NO RECOMENDABLE
Google Hacking
Exportaciones de Base de Datos
Base de Datos
http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com.co/search?hl=es&rlz=1T4GGLL_esCO411CO411&q=ext:sql+inurl:backup+password+"insert+into"&oq=ext:sql+inurl:backup+password+"insert+into"&aq=f&aqi=&aql=f&gs_sm=e&gs_upl=116421l145952l0l49l49l3l37l0l1l329l2117l1.1.5.2l9http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"http://www.google.com/search?q=inurl:"phpmyadmin/index.php" intext:"[ Edit ] [ Create PHP Code ] [ Refresh ]"Uniscan
W3AF
W3AF
NIKTO
cd /pentest/web/nikto/ ./nikto.pl -update
JOOMSCAN cd /pentest/web/joomcan/ ./joomscan.pl update ./joomscan.pl -u www.victima.com
http://www.victima.com/PLECOST cd /pentest/web/plecost/ ./plecost-0.2.2-9-beta.py R wp_plugin_list.txt ./plecost-0.2.2-9-beta.py i wp_plugin_list.txt o resultado.txt www.victima.com
inurl:/wp-content/ site:ec /wp-admin
http://www.victima.com/https://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-ahttps://www.google.com.ec/search?q=inurl:/wp-content/+site:ec++++++++++&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-aSQLMAP cd /pentest/database/sqlmap ./sqlmap.py --update ./sqlmap.py --wizard
HAVIJ
Acunetix
Owasp Zap
Zombis XSS
Contramedidas
WAF (Web Aplicattion Firewall) OSSIM Ojo con las Prcticas Empresariales Control de Calidad de Software Confi en el OutSourcing de Seguridad Realice Testeos Propios 3 Veces al ao Contrate Testeos Especializados 1 Vez al Ao Actualice Su Software Permanentemente No Desafi a Una Comunidad de Seguridad
Libros Informtica 64
http://www.informatica64.com/