1

PRE-TAREA

OMAR ANDRÉS LEÓN MORALES

 2

INTRODUCCIÓN

Sin duda y una de las cosas que más ha tomado importancia en nuestros días es el hecho

de que la información es el activo más preciado y por consiguiente la gran importancia que la

seguridad informática ha adquirido, en este resumen hablaremos de 3 herramientas que son tan

especializadas como enfocadas a estudiar y evitar las vulnerabilidades de los sistemas, como lo es

OWASP. Las iniciales significan Solicitud del Proyecto de Seguridad Open Web, el cual se

enmarca en una metodología de pruebas para asegurar las aplicaciones web, entre las

características más destacadas se centran principalmente en buscar huecos de seguridad en los

sitios web haciendo inyección de XML, SOAP, SQL y realizando pruebas Cross Site.

Así mismo en conjunto al OWASP, podemos encontrar DWMA que es un sitio preparado

especialmente con vulnerabilidades para poder estudiar en conjunto con herramientas de testeo y

escaneo como las que trae la distribución de Linux llamada Kali y asi poder familiarizarnos con

las vulnerabilidades encontradas y poderlas aplicar en ambientes productivos.

 3

1. OWASP

La metodología OWASP analiza la seguridad de las aplicaciones para asegurar su correcto

manejo, protegiendo la información de accesos indebidos, partiendo de los siguientes límites:

- Numero de vulnerabilidades existentes en la aplicación

- El tiempo necesario que llevaría arreglar dichas vulnerabilidades

- El tiempo en el que una vulnerabilidad permaneció abierta

- La tasa de remediación de vulnerabilidades

La metodología OWASP se centra en un top de 10 vulnerabilidades, pero eso no quiere decir que

sean las únicas, pero si son las más comunes que cada año cambia, por ejemplo OWASP 2017,

define su top10 de la siguiente manera:

A1:2017 – Inyección

A2:2017 – Pérdida de Autenticación y Gestión de Sesiones

A3:2017 – Exposición de Datos Sensibles

A4:2017 – Entidad Externa de XML (XXE)

A5:2017 – Perdida de Control de Acceso

A6:2017 – Configuración de Seguridad Incorrecta

A7:2017 – Secuencia de Comandos en Sitios Cruzados (XSS)

A8:2017 – Deserialización Insegura

 4

A9:2017 – Uso de Componentes con Vulnerabilidades Conocidas

A10:2017 – Registro y Monitoreo Insuficiente

(The OWASP Foundation, 2017, p4)

2. DVMA

Esta herramienta no es más que una página web hecha en PHP con Mysql, que tiene huecos

de seguridad para que los profesionales de seguridad puedan probar las nuevas herramientas de

penetración, así mismo lo usan los profesores y estudiantes para estudiar los procesos que se

pueden aplicar para detectar vulnerabilidades.

3. Kali Linux

Kali Linux es una distribución especial del sistema operativo Linux que ya tiene

preinstalado una serie de herramienta, por mencionar algunas NMAP, Nessus, Wireshark, Netcap,

entre otras.
 5

4. Mapa Mental

Seguridad en
Aplicaciones Web

- Protocolos, vulnerabilidades, tipos de - OWASP

ataques - DVMA

- Evaluación de Vulnerabilidades - Kali Linux

- Principios de seguridad

- Phishing

- Autenticación

- Autorización
 6

Lista de referencias

The OWASP Foundation, (2017). Quick Start Guide. Recuperado de

https://www.owasp.org/images/5/53/OWASP_Quick_Start_Guide.pdf

The OWASP Foundation, (2017). Los diez riesgos más críticos en Aplicaciones Web. Recuperado de
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

DVWA (2019) Damn Vulnerable Web Application http://www.dvwa.co.uk/

Kali Linux (2019) Advance Penetration Testing Distribution http://www.kali.org/