Académique Documents
Professionnel Documents
Culture Documents
Webinar Gratuito
OWASP
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/ http://www.reydes.com
https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Introducción
La creación de la versión 4 de la Guía de pruebas de OWASP, tiene
como propósito ser una guía estándar de facto para realizar
pruebas de penetración contra aplicaciones web. La versión 4 de la
guía de pruebas de OWASP, mejora la versión anterior de tres
maneras.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Proyecto de Pruebas de OWASP
Este proyecto ha estado en desarrollo por muchos años. El
propósito del proyecto es ayudar a las personas a entender el que,
porque, cuando, donde, y el como de las pruebas a aplicaciones
web.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Pruebas de Penetración (Cont.)
Si bien las pruebas de penetración demuestran ser efectivas en la
seguridad de las redes, la técnica no se traduce naturalmente hacia
las aplicaciones.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Estructura de Trabajo para Pruebas de OWASP
Se describe una estructura típica de pruebas a desplegar en una
organización:
●
Fase 1.1: Definir un SDLC
●
Fase 1.2: Revisar las políticas y estándares
●
Fase 1.3: Desarrollar criterios de medidas y métricas y asegurar
trazabilidad
●
Fase 2.1: Revisión de requerimientos en seguridad
●
Fase 2.2: Revisión del diseño y arquitectura
●
Fase 2.3: Crear y revisar modelos UML
●
Fase 2.4: Crear y revisar modelos de amenazas
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Estructura de Trabajo para Pruebas de OWASP
Fase 3: Durante el desarrollo
●
Fase 3.1: Recorrer a través del código
●
Fase 3.2: Revisión del código
●
Fase 4.1: Pruebas de penetración contra la aplicación
●
Fase 4.1: Pruebas de gestión de la configuración
●
Fase 5.1: Realizar revisiones de gestión operacional
●
Fase 5.2: Realizar verificaciones periódicas de bienestar
●
Fase 5.3: Asegurar verificación de cambios
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Un Típico Flujo de Trabajo para Probar SDLC
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Metodología de Pruebas de OWASP
Las pruebas de seguridad nunca serán una ciencia exacta, donde se
pueda definir una lista completa de todos los posibles
inconvenientes a ser evaluados. De hecho, las pruebas de
seguridad son únicamente una técnica apropiada para probar la
seguridad de las aplicaciones web, bajo ciertas circunstancias.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Lista de Verificación de Pruebas
La siguiente es un resumen de la lista de controles a evaluar
durante las pruebas.
●
Captura de Información (Information Gathering)
●
Pruebas de Gestión de las Configuración y Despliegue
(Configuration and Deploy Management Testing)
●
Pruebas de Gestión de Identidad (Identity Management
Testing)
●
Pruebas de Autenticación (Authentication Testing)
●
Pruebas de Autorización (Authorization Testing)
●
Pruebas de Gestión de la Sesión (Session Management Testing)
●
Pruebas de Validación de Datos (Data Validation Testing)
●
Manejo de Error (Error Handling)
●
Criptografía (Cryptography)
●
Pruebas de la Lógica de la Empresa (Business Logic Testing)
●
Pruebas del Lago del Cliente (Client Side Testing)
* Testing Checklist: https://www.owasp.org/index.php/Testing_Checklist
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Captura de Información
Probar por captura de información incluye los siguientes artículos:
●
Realizar Descubrimiento en Motores de Búsqueda y
Reconocimiento por Fuga de Información
●
Obtener la Huella del Servidor Web
●
Revisar Metaarchivos del Servidor Web por Exposición de
Información
●
Enumerar las Aplicaciones en el Servidor Web
●
Revisar los Comentarios y Metadatos de la Página Web por
Exposición de Información
●
Identificar Puntos de Entrada a la Aplicación
●
Mapear Rutas de Ejecución a través de la Aplicación
●
Obtener la Huella del Framework de la Aplicación Web
●
Obtener una Huella de la Aplicación Web
●
Mapa de la Arquitectura de la Aplicación
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Curso Virtual Hacking Aplicaciones Web 2019
Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
e-mail: reydes@gmail.com Sitio web: http://www.reydes.com
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Demostraciones
.
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Cursos Virtuales Disponibles en Video
Curso Virtual de Hacking Ético
http://www.reydes.com/d/?q=Curso_de_Hacking_Etico
http://www.reydes.com/d/?q=cursos
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Más Contenidos
Videos de 44 webinars gratuitos
http://www.reydes.com/d/?q=videos
http://www.reydes.com/d/?q=node/3
http://www.reydes.com/d/?q=node/2
http://www.reydes.com/d/?q=blog/1
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Guía de Pruebas de
Webinar Gratuito
OWASP
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux