Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com

Jueves 31 de Enero del 2019Web

inar

Gra

tuit

o Guía de Pruebas de OWASP

Presentación

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals y Phishing Countermeasures.

Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 16 años de experiencia y desde hace 12 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux.

https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero

https://www.facebook.com/alonsoreydes/ http://www.reydes.com

https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com

Introducción

La creación de la versión 4 de la Guía de pruebas de OWASP, tiene como propósito ser una guía estándar de facto para realizar pruebas de penetración contra aplicaciones web. La versión 4 de la guía de pruebas de OWASP, mejora la versión anterior de tres maneras.

1. Esta versión se integra con otros dos documentos de OWASP; la guía para desarrolladores, y la guía para revisión de código.

2. Todos los capítulos han sido mejorados y los casos de pruebas ampliados a 87, incluyendo la introducción de cuatro nuevos capítulos y controles.

3. Esta versión alienta a la comunidad a no aceptar simplemente los casos descritos en la guía. Recomienda integrar con otro software de prueba y diseñar casos de pruebas específicos.

* OWASP Testing Guide v4: https://www.owasp.org/index.php/OWASP_Testing_Project

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Proyecto de Pruebas de OWASP

Este proyecto ha estado en desarrollo por muchos años. El propósito del proyecto es ayudar a las personas a entender el que, porque, cuando, donde, y el como de las pruebas a aplicaciones web.

El proyecto entrega una completa estructura para pruebas, no meramente una lista de verificación o prescripción de problemas los cuales deben sera abarcados.

Los lectores pueden utilizar esta estructura de trabajo como una plantilla para construir sus propios programas de pruebas, o para cualificar los procesos de otras personas.

La guía de pruebas describe en detalle ya sea la estructura general de pruebas, y las técnicas requeridas para implementar el marco de trabajo en la practica.

* Testing Guide Introduction: https://www.owasp.org/index.php/Testing_Guide_Introduction#The_OWASP_Testing_Project

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Pruebas de Penetración

Han sido una técnica comúnmente utilizada para evaluar la seguridad de las redes por muchos años. También se conoce como pruebas de caja negra o Hacking Ético.

La prueba de penetración es el “arte” de probar una aplicación en funcionamiento de manera remota, para encontrar vulnerabilidades de seguridad, sin conocer el funcionamiento interno de la aplicación en si.

Típicamente un equipo de prueba de penetración tendrá acceso hacia una aplicación, como si fuesen los usuarios. El profesional actúa como un atacante e intenta encontrar y explotar vulnerabilidades.

En muchos casos al profesional se le proporcionará una cuenta válida en el sistema.

* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Pruebas de Penetración (Cont.)

Si bien las pruebas de penetración demuestran ser efectivas en la seguridad de las redes, la técnica no se traduce naturalmente hacia las aplicaciones.

Cuando se realiza una prueba de penetración en redes y sistemas operativos, la mayoría del trabajo implica encontrar y explotar vulnerabilidades conocidas en tecnologías específicas.

Como las aplicaciones web son casi exclusivamente hechas a medida, las pruebas de penetración en este campo son más parecidas a una investigación pura.

Se han desarrollado herramientas para automatizar el proceso, pero dada la naturaleza de las aplicaciones web, su efectividad es usualmente baja.

* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Estructura de Trabajo para Pruebas de OWASP

Se describe una estructura típica de pruebas a desplegar en una organización:

Fase 1: Antes de iniciar de desarrollo

● Fase 1.1: Definir un SDLC● Fase 1.2: Revisar las políticas y estándares● Fase 1.3: Desarrollar criterios de medidas y métricas y asegurar

trazabilidad

Fase 2: Durante la definición y diseño

● Fase 2.1: Revisión de requerimientos en seguridad● Fase 2.2: Revisión del diseño y arquitectura● Fase 2.3: Crear y revisar modelos UML● Fase 2.4: Crear y revisar modelos de amenazas

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Estructura de Trabajo para Pruebas de OWASP

Fase 3: Durante el desarrollo

● Fase 3.1: Recorrer a través del código● Fase 3.2: Revisión del código

Fase 4: Durante el despliegue

● Fase 4.1: Pruebas de penetración contra la aplicación● Fase 4.1: Pruebas de gestión de la configuración

Fase 5: Mantenimiento y operaciones

● Fase 5.1: Realizar revisiones de gestión operacional● Fase 5.2: Realizar verificaciones periódicas de bienestar● Fase 5.3: Asegurar verificación de cambios

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Un Típico Flujo de Trabajo para Probar SDLC

* A Typical SDLC Testing Workflow: https://www.owasp.org/index.php/The_OWASP_Testing_Framework#A_Typical_SDLC_Testing_Workflow

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Pruebas de Seguridad a Aplicaciones web

Es un método para evaluar la seguridad de un sistema de cómputo o red, mediante una validación metodológica, y verificando la efectividad de los controles de seguridad en la aplicación.

Una prueba de seguridad contra aplicaciones web se enfoca únicamente en evaluar la seguridad de una aplicación web. El proceso involucra análisis activo de la aplicación por debilidades, fallas técnicas, o vulnerabilidades.

Cualquier inconveniente encontrado será presentado al propietario del sistema, junto con una evaluación del impacto, y una propuesta para mitigarlo o una solución técnica.

* Testing: Introduction and objectives: https://www.owasp.org/index.php/Testing:_Introduction_and_objectives

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Metodología de Pruebas de OWASP

Las pruebas de seguridad nunca serán una ciencia exacta, donde se pueda definir una lista completa de todos los posibles inconvenientes a ser evaluados. De hecho, las pruebas de seguridad son únicamente una técnica apropiada para probar la seguridad de las aplicaciones web, bajo ciertas circunstancias.

El objetivo del proyecto es recopilar todas las técnicas de pruebas posibles, explicar las técnicas, y mantener la guía actualizada. El método de prueba de seguridad contra aplicaciones web de OWASP, se basa en la perspectiva de caja negra. En donde el profesional no conoce nada o tiene poca información sobre la aplicación a ser evaluada.

El modelo está constituido de; el profesional, herramientas y metodologías, y la aplicación.

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Lista de Verificación de Pruebas

La siguiente es un resumen de la lista de controles a evaluar durante las pruebas.

● Captura de Información (Information Gathering)● Pruebas de Gestión de las Configuración y Despliegue

(Configuration and Deploy Management Testing)● Pruebas de Gestión de Identidad (Identity Management

Testing)● Pruebas de Autenticación (Authentication Testing)● Pruebas de Autorización (Authorization Testing)● Pruebas de Gestión de la Sesión (Session Management Testing)● Pruebas de Validación de Datos (Data Validation Testing)● Manejo de Error (Error Handling)● Criptografía (Cryptography)● Pruebas de la Lógica de la Empresa (Business Logic Testing)● Pruebas del Lago del Cliente (Client Side Testing) * Testing Checklist: https://www.owasp.org/index.php/Testing_Checklist

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Captura de Información

Probar por captura de información incluye los siguientes artículos:

● Realizar Descubrimiento en Motores de Búsqueda y Reconocimiento por Fuga de Información

● Obtener la Huella del Servidor Web● Revisar Metaarchivos del Servidor Web por Exposición de

Información● Enumerar las Aplicaciones en el Servidor Web● Revisar los Comentarios y Metadatos de la Página Web por

Exposición de Información● Identificar Puntos de Entrada a la Aplicación● Mapear Rutas de Ejecución a través de la Aplicación● Obtener la Huella del Framework de la Aplicación Web● Obtener una Huella de la Aplicación Web● Mapa de la Arquitectura de la Aplicación

* Testing for Information Gathering: https://www.owasp.org/index.php/Testing_Information_Gathering

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Curso Virtual Hacking Aplicaciones Web 2019

Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: reydes@gmail.com Sitio web: http://www.reydes.com

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Demostraciones

.

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Cursos Virtuales Disponibles en Video

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Curso Virtual de Hacking Éticohttp://www.reydes.com/d/?q=Curso_de_Hacking_Etico

Curso Virtual de Hacking Aplicaciones Webhttp://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

Curso Virtual de Informática Forensehttp://www.reydes.com/d/?q=Curso_de_Informatica_Forense

Curso Virtual Hacking con Kali Linuxhttp://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux

Curso Virtual OSINT - Open Source Intelligencehttp://www.reydes.com/d/?q=Curso_de_OSINT

Curso Virtual Forense de Redeshttp://www.reydes.com/d/?q=Curso_Forense_de_Redes

Y todos los cursos virtuales:

http://www.reydes.com/d/?q=cursos

Más Contenidos

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com

Videos de 44 webinars gratuitos

http://www.reydes.com/d/?q=videos

Diapositivas de los webinars gratuitos

http://www.reydes.com/d/?q=node/3

Artículos y documentos publicados

http://www.reydes.com/d/?q=node/2

Blog sobre temas de mi interés.

http://www.reydes.com/d/?q=blog/1

Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com

Jueves 31 de Enero del 2019Web

inar

Gra

tuit

o Guía de Pruebas de OWASP