PDF de programación - Aportación de la OWASP a la comunidad internacional. Seguridad en las relaciones de confianza.

Aportación de la OWASP a la comunidad
internacional.
Seguridad en las relaciones de confianza.

Vicente Aguilera Díaz
OWASP Spain Chapter Leader
CISA, CISSP, ITILF, CEH Instructor, OPSA, OPST
[email protected]

28 marzo 2008

The OWASP Foundation
http://www.owasp.org

¿Quién soy?

Vicente Aguilera Díaz
 CISA, CISSP, ITILF, CEH Instructor, OPSA, OPST
 OWASP Spain chapter leader
 Socio co-fundador de Internet Security Auditors
 Miembro del consejo técnico asesor de RedSeguridad
 6 años focalizado en seguridad en aplicaciones Web
 Colaborador de OWASP Testing Guide v2, WASC Threat

Classification v2

 Artículos y conferencias sobre seguridad en aplicaciones
 Vulnerabilidades en Oracle, SquirrelMail, Hastymail,

ISMail, GMail, ...

OWASP

2

Agenda

 Aportación de la OWASP a la comunidad internacional
 Capítulo español de la OWASP
 Seguridad en las relaciones de confianza
 ¿Preguntas?

OWASP

3

Aportación de la OWASP a la comunidad internacional

OWASP

4

OWASP

 El Open Web Application Seguridad Project (OWASP)

está dedicado a la búsqueda y la lucha contra las
causas de software inseguro. La OWASP Foundation
es una organización sin ánimo de lucro que proporciona
la infraestructura y apoya nuestro trabajo.

 La participación es gratuita y abierta para todos
 Aquí todo es gratuito y de código abierto
 Objetivos: crear herramientas, documentación y

estándares relacionados con la seguridad en aplicaciones

 7685 miembros y 114 capítulos locales en el mundo

OWASP

5

OWASP

 Todos los miembros son voluntarios
 Comunicación: MediaWiki (www.owasp.org)
 Proporciona recursos gratuitos a la comunidad:

publicaciones, artículos, estándares, aplicaciones de test
y aprendizaje, capítulos locales, listas de correo y
conferencias

 Modelo de licencia: Open Source y licencias comerciales

para miembros

OWASP

6

OWASP

El estilo OWASP: “open”
 Gratuito
 Consensuado
 Libre de utilizar y modificar
 Independiente
 Compartiendo conocimientos
 Ámplio público y participación

OWASP

7

OWASP

Causas de software inseguro
 Vulnerabilidades
 Desarrolladores
 Estructura organizativa, procesos de desarrollo, tecnología
 Incremento de conectividad y complejidad
 Requerimientos legales

OWASP

8

OWASP

Aportaciones

Building Guide

CLASP

AJAX

.NET, Java

Testing Guide

WebScarab
Validation

Certification

Top 10

WebGoat

Conferences

Site Generator

Chapters

Wiki Portal

Mailing list

Blogs

... y muchos otros proyectos!

http://www.owasp.org/index.php/Category:OWASP_Project
OWASP

9

OWASP

Aportaciones
 Proyectos (Herramientas)

 OWASP WebGoat Project
 OWASP WebScarab Project
 OWASP AntiSamy Project
 OWASP CAL9000 Project
 OWASP CSRFGuard Project
 OWASP DirBuster Project
 OWASP Encoding Project
 OWASP LAPSE Project
 OWASP Live CD Education Project
 OWASP Live CD Project
 OWASP .NET Research

OWASP

10

OWASP

Aportaciones
 Proyectos (Herramientas)

 OWASP Pantera Web Assessment Studio Project
 OWASP Report Generator
 OWASP Site Generator
 OWASP SQLiX Project
 OWASP Tiger
 OWASP WeBekci Project
 OWASP WSFuzzer Project
 OWASP CSRFTester Project
 OWASP Insecure Web App Project
 OWASP Interceptor Project
 OWASP JBroFuzz Project

OWASP

11

OWASP

Aportaciones
 Proyectos (Herramientas)

 OWASP Sprajax Project
 OWASP Stinger Project
 OWASP Web 2.0 Project

25 PROYECTOS SOBRE HERRAMIENTAS

OWASP

12

OWASP

Aportaciones
 Proyectos (Documentación)

 OWASP AppSec FAQ Project
 OWASP Guide Project
 OWASP Legal Project
 OWASP Testing Guide
 OWASP Top Ten Project
 OWASP CLASP Project
 OWASP Code Review Project
 OWASP Tools Project
 OWASP AJAX Security Guide
 OWASP Application Security Assessment Standards Project
 OWASP Application Security Requirements

OWASP

13

OWASP

Aportaciones
 Proyectos (Documentación)

 OWASP Application Security Metrics Project
 OWASP Career Development Project
 OWASP Certification Criteria Project
 OWASP Certification Project
 OWASP Communications Project
 OWASP Honeycomb Project
 OWASP Java Project
 OWASP Logging Guide
 OWASP PHP Project
 OWASP Scholastic Application Security Assessment Project
 OWASP Validation Project

OWASP

14

OWASP

Aportaciones
 Proyectos (Documentación)

 OWASP WASS Guide
 OWASP Web Application Security Put Into Practice
 OWASP XML Security Gateway Evaluation Criteria
 OWASP Education Project
 OWASP on The Move Project
 OWASP Fuzzing Code Database

28 PROYECTOS DE DOCUMENTACIÓN

OWASP

15

OWASP

Han adoptado el OWASP Top Ten...

 La Federal Trade Commission (EEUU) recomienda

encarecidamente que todas las empresas usen el OWASP
Ton Ten y se aseguren de que sus partners hagan lo
mismo.

 La Defense Information Systems Agency (EEUU) ha

enumerado el OWASP Top Ten como las mejores prácticas
a utilizar como parte del DOD Information Technology
Security Certification and Accreditation (C&A) Process
(DITSCAP).
OWASP

16

OWASP

Han adoptado el OWASP Top Ten...
 Un gran número de organizaciones internacionales

... y muchas otras en todo el mundo!

OWASP

17

OWASP

Han adoptado el OWASP Top Ten...
 El estándar Payment Card Industry (PCI) ha adoptado
el OWASP Top Ten, y requiere (entre otros aspectos) que
todos los comercios realicen una auditoría de código de
las aplicaciones que desarrollan.
 PCI Requirement 6.5 points towards the OWASP project as a

source of secure coding guidance.

 PA-DSS (Payment Application Data Security Standard)

http://ww.pcisecuritystandards.org

OWASP

18

OWASP

Referencias a nuestros proyectos...
 Gran número de libros:

http://books.google.com/books?as_q=owasp

OWASP

19

OWASP

A nivel español
 Entidades financieras
 Universidades
 Empresas de desarrollo
 Empresas de seguridad

OWASP

20

OWASP

Principales proyectos
 Documentación:

 A Guide to Building Secure Web Applications and Web Services
 Testing Guide
 Top Ten

 Herramientas:

 WebScarab
 WebGoat

OWASP

21

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Es un libro: 310 páginas
 Gratuito
 Muchos colaboradores
 Aplicaciones y Web Services
 Ejemplos en J2EE, PHP, ASP.NET
 Exhaustivo
 Evoluciona (1ª versión en 2002)

http://www.owasp.org/index.php/Category:OWASP_Guide_Project

OWASP

22

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Orientado a:

 Desarrolladores: guía para implementar mecanismos de

seguridad y evitar vulnerabilidades

 Jefes de Proyecto: identificar actividades a realizar (modelado

de amenazas, revisión de código, pentest, etc.)

 Equipos de Seguridad: estructurar las pruebas, conocer

mecanismos de seguridad y soluciones

OWASP

23

OWASP

A Guide to Building Secure Web Applications and

Web Services

 27 capítulos:

 1. About the Open Web Application Security Project
 2. Introduction
 3. What are Web Applications?
 4. Policy Frameworks
 5. Secure coding principles
 6. Threat risk modeling
 7. Handling e-commerce payments
 8. Phishing
 9. Web Services
 10. AJAX and other “rich” interface technologies
 11. Authentication
 12. Authorization
 13. Session Management
 14. Data Validation

 15. Interpreter injection
 16. Canoncalization, locale and unicode
 17. Error handling, auditing and logging
 18. File system
 19. Distributed computing
 20. Buffer overflows
 21. Administrative interfaces
 22. Cryptography
 23. Configuration
 24. Software quality assurance
 25. Deployment
 26. Maintenance
 27. GNU free documentation license

OWASP

24

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Cubre las áreas clave de la seguridad en aplicaciones:

 Autenticación
 Autorización
 Gestión de sesiones
 Validación de datos
 Canonicalización
 Gestión de errores, log y auditoría
 Configuración

OWASP

25

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Para cada aspecto tratado:

 Objetivos
 Teoría
 Buenas prácticas
 Cómo determinar si somos vulnerables
 Cómo protegernos

OWASP

26

OWASP

A Guide to Building Secure Web Applications and

Web Services
 Autenticación:

 Técnicas habituales de autenticación Web
 Fuerza bruta
 CAPTCHA
 Autenticación fuerte
 Autenticación positiva
 Selección de nombres de usuario
 Cambios de contraseña
 Logout
 ...

OWASP

27

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Autorización:

 Principio de mínimo privilegio
 Rutinas centralizadas de autorización
 Matriz de autorización
 Control de acceso sobre recursos protegidos
 Protección del acceso a recursos estáticos
 Re-autorización en acciones de alto valor
 ...

OWASP

28

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Gestión de sesiones:

 Exposición de variables de sesión
 Tokens de sesión
 Detección de ataques de fuerza bruta
 Debilidad de los algoritmos criptográficos
 Regeneración de tokens de sesión
 Secuestro de sesión
 Ataques a la validación de sesiones
 ...

OWASP

29

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Validación de datos:

 Donde incluir validaciones
 Donde incluir verificaciones de integridad
 Donde incluir validaciones de las reglas de negocio
 Estrategias de validación de datos
 Prevención de la alteración de datos
 Codificación de URL y HTML
 ...

OWASP

30

OWASP

A Guide to Building Secure Web Applications and

Web Services
 Canonicalización:

 Formatos de entrada
 UNICODE
 Doble (o N-) codificación
 HTTP Request Smuggling
 ...

OWASP

31

OWASP

A Guide to Building Secure Web Applications and

Web Services

 Gestión de errores, log y auditoría:

 Mensajes de error detallados
 Logging
 Ruído
 Cubrir pistas
 Falsas alarmas
 Pistas de auditoría
 Gestión de errores
 ...

OWASP

32

OWASP

A Guide to Building Secure Web Applications and

Web Services
 Configuración:

 Contraseñas por defecto
 Cadenas de conexión seguras
 Transmisión por red segura
 Cifrado de datos
 Seguridad