Aportación de la OWASP a la comunidad
internacional.
Seguridad en las relaciones de confianza.
Vicente Aguilera Díaz
OWASP Spain Chapter Leader
CISA, CISSP, ITILF, CEH Instructor, OPSA, OPST
[email protected]
28 marzo 2008
The OWASP Foundation
http://www.owasp.org
¿Quién soy?
Vicente Aguilera Díaz
CISA, CISSP, ITILF, CEH Instructor, OPSA, OPST
OWASP Spain chapter leader
Socio co-fundador de Internet Security Auditors
Miembro del consejo técnico asesor de RedSeguridad
6 años focalizado en seguridad en aplicaciones Web
Colaborador de OWASP Testing Guide v2, WASC Threat
Classification v2
Artículos y conferencias sobre seguridad en aplicaciones
Vulnerabilidades en Oracle, SquirrelMail, Hastymail,
ISMail, GMail, ...
OWASP
2
Agenda
Aportación de la OWASP a la comunidad internacional
Capítulo español de la OWASP
Seguridad en las relaciones de confianza
¿Preguntas?
OWASP
3
Aportación de la OWASP a la comunidad internacional
OWASP
4
OWASP
El Open Web Application Seguridad Project (OWASP)
está dedicado a la búsqueda y la lucha contra las
causas de software inseguro. La OWASP Foundation
es una organización sin ánimo de lucro que proporciona
la infraestructura y apoya nuestro trabajo.
La participación es gratuita y abierta para todos
Aquí todo es gratuito y de código abierto
Objetivos: crear herramientas, documentación y
estándares relacionados con la seguridad en aplicaciones
7685 miembros y 114 capítulos locales en el mundo
OWASP
5
OWASP
Todos los miembros son voluntarios
Comunicación: MediaWiki (www.owasp.org)
Proporciona recursos gratuitos a la comunidad:
publicaciones, artículos, estándares, aplicaciones de test
y aprendizaje, capítulos locales, listas de correo y
conferencias
Modelo de licencia: Open Source y licencias comerciales
para miembros
OWASP
6
OWASP
El estilo OWASP: “open”
Gratuito
Consensuado
Libre de utilizar y modificar
Independiente
Compartiendo conocimientos
Ámplio público y participación
OWASP
7
OWASP
Causas de software inseguro
Vulnerabilidades
Desarrolladores
Estructura organizativa, procesos de desarrollo, tecnología
Incremento de conectividad y complejidad
Requerimientos legales
OWASP
8
OWASP
Aportaciones
Building Guide
CLASP
AJAX
.NET, Java
Testing Guide
WebScarab
Validation
Certification
Top 10
WebGoat
Conferences
Site Generator
Chapters
Wiki Portal
Mailing list
Blogs
... y muchos otros proyectos!
http://www.owasp.org/index.php/Category:OWASP_Project
OWASP
9
OWASP
Aportaciones
Proyectos (Herramientas)
OWASP WebGoat Project
OWASP WebScarab Project
OWASP AntiSamy Project
OWASP CAL9000 Project
OWASP CSRFGuard Project
OWASP DirBuster Project
OWASP Encoding Project
OWASP LAPSE Project
OWASP Live CD Education Project
OWASP Live CD Project
OWASP .NET Research
OWASP
10
OWASP
Aportaciones
Proyectos (Herramientas)
OWASP Pantera Web Assessment Studio Project
OWASP Report Generator
OWASP Site Generator
OWASP SQLiX Project
OWASP Tiger
OWASP WeBekci Project
OWASP WSFuzzer Project
OWASP CSRFTester Project
OWASP Insecure Web App Project
OWASP Interceptor Project
OWASP JBroFuzz Project
OWASP
11
OWASP
Aportaciones
Proyectos (Herramientas)
OWASP Sprajax Project
OWASP Stinger Project
OWASP Web 2.0 Project
25 PROYECTOS SOBRE HERRAMIENTAS
OWASP
12
OWASP
Aportaciones
Proyectos (Documentación)
OWASP AppSec FAQ Project
OWASP Guide Project
OWASP Legal Project
OWASP Testing Guide
OWASP Top Ten Project
OWASP CLASP Project
OWASP Code Review Project
OWASP Tools Project
OWASP AJAX Security Guide
OWASP Application Security Assessment Standards Project
OWASP Application Security Requirements
OWASP
13
OWASP
Aportaciones
Proyectos (Documentación)
OWASP Application Security Metrics Project
OWASP Career Development Project
OWASP Certification Criteria Project
OWASP Certification Project
OWASP Communications Project
OWASP Honeycomb Project
OWASP Java Project
OWASP Logging Guide
OWASP PHP Project
OWASP Scholastic Application Security Assessment Project
OWASP Validation Project
OWASP
14
OWASP
Aportaciones
Proyectos (Documentación)
OWASP WASS Guide
OWASP Web Application Security Put Into Practice
OWASP XML Security Gateway Evaluation Criteria
OWASP Education Project
OWASP on The Move Project
OWASP Fuzzing Code Database
28 PROYECTOS DE DOCUMENTACIÓN
OWASP
15
OWASP
Han adoptado el OWASP Top Ten...
La Federal Trade Commission (EEUU) recomienda
encarecidamente que todas las empresas usen el OWASP
Ton Ten y se aseguren de que sus partners hagan lo
mismo.
La Defense Information Systems Agency (EEUU) ha
enumerado el OWASP Top Ten como las mejores prácticas
a utilizar como parte del DOD Information Technology
Security Certification and Accreditation (C&A) Process
(DITSCAP).
OWASP
16
OWASP
Han adoptado el OWASP Top Ten...
Un gran número de organizaciones internacionales
... y muchas otras en todo el mundo!
OWASP
17
OWASP
Han adoptado el OWASP Top Ten...
El estándar Payment Card Industry (PCI) ha adoptado
el OWASP Top Ten, y requiere (entre otros aspectos) que
todos los comercios realicen una auditoría de código de
las aplicaciones que desarrollan.
PCI Requirement 6.5 points towards the OWASP project as a
source of secure coding guidance.
PA-DSS (Payment Application Data Security Standard)
http://ww.pcisecuritystandards.org
OWASP
18
OWASP
Referencias a nuestros proyectos...
Gran número de libros:
http://books.google.com/books?as_q=owasp
OWASP
19
OWASP
A nivel español
Entidades financieras
Universidades
Empresas de desarrollo
Empresas de seguridad
OWASP
20
OWASP
Principales proyectos
Documentación:
A Guide to Building Secure Web Applications and Web Services
Testing Guide
Top Ten
Herramientas:
WebScarab
WebGoat
OWASP
21
OWASP
A Guide to Building Secure Web Applications and
Web Services
Es un libro: 310 páginas
Gratuito
Muchos colaboradores
Aplicaciones y Web Services
Ejemplos en J2EE, PHP, ASP.NET
Exhaustivo
Evoluciona (1ª versión en 2002)
http://www.owasp.org/index.php/Category:OWASP_Guide_Project
OWASP
22
OWASP
A Guide to Building Secure Web Applications and
Web Services
Orientado a:
Desarrolladores: guía para implementar mecanismos de
seguridad y evitar vulnerabilidades
Jefes de Proyecto: identificar actividades a realizar (modelado
de amenazas, revisión de código, pentest, etc.)
Equipos de Seguridad: estructurar las pruebas, conocer
mecanismos de seguridad y soluciones
OWASP
23
OWASP
A Guide to Building Secure Web Applications and
Web Services
27 capítulos:
1. About the Open Web Application Security Project
2. Introduction
3. What are Web Applications?
4. Policy Frameworks
5. Secure coding principles
6. Threat risk modeling
7. Handling e-commerce payments
8. Phishing
9. Web Services
10. AJAX and other “rich” interface technologies
11. Authentication
12. Authorization
13. Session Management
14. Data Validation
15. Interpreter injection
16. Canoncalization, locale and unicode
17. Error handling, auditing and logging
18. File system
19. Distributed computing
20. Buffer overflows
21. Administrative interfaces
22. Cryptography
23. Configuration
24. Software quality assurance
25. Deployment
26. Maintenance
27. GNU free documentation license
OWASP
24
OWASP
A Guide to Building Secure Web Applications and
Web Services
Cubre las áreas clave de la seguridad en aplicaciones:
Autenticación
Autorización
Gestión de sesiones
Validación de datos
Canonicalización
Gestión de errores, log y auditoría
Configuración
OWASP
25
OWASP
A Guide to Building Secure Web Applications and
Web Services
Para cada aspecto tratado:
Objetivos
Teoría
Buenas prácticas
Cómo determinar si somos vulnerables
Cómo protegernos
OWASP
26
OWASP
A Guide to Building Secure Web Applications and
Web Services
Autenticación:
Técnicas habituales de autenticación Web
Fuerza bruta
CAPTCHA
Autenticación fuerte
Autenticación positiva
Selección de nombres de usuario
Cambios de contraseña
Logout
...
OWASP
27
OWASP
A Guide to Building Secure Web Applications and
Web Services
Autorización:
Principio de mínimo privilegio
Rutinas centralizadas de autorización
Matriz de autorización
Control de acceso sobre recursos protegidos
Protección del acceso a recursos estáticos
Re-autorización en acciones de alto valor
...
OWASP
28
OWASP
A Guide to Building Secure Web Applications and
Web Services
Gestión de sesiones:
Exposición de variables de sesión
Tokens de sesión
Detección de ataques de fuerza bruta
Debilidad de los algoritmos criptográficos
Regeneración de tokens de sesión
Secuestro de sesión
Ataques a la validación de sesiones
...
OWASP
29
OWASP
A Guide to Building Secure Web Applications and
Web Services
Validación de datos:
Donde incluir validaciones
Donde incluir verificaciones de integridad
Donde incluir validaciones de las reglas de negocio
Estrategias de validación de datos
Prevención de la alteración de datos
Codificación de URL y HTML
...
OWASP
30
OWASP
A Guide to Building Secure Web Applications and
Web Services
Canonicalización:
Formatos de entrada
UNICODE
Doble (o N-) codificación
HTTP Request Smuggling
...
OWASP
31
OWASP
A Guide to Building Secure Web Applications and
Web Services
Gestión de errores, log y auditoría:
Mensajes de error detallados
Logging
Ruído
Cubrir pistas
Falsas alarmas
Pistas de auditoría
Gestión de errores
...
OWASP
32
OWASP
A Guide to Building Secure Web Applications and
Web Services
Configuración:
Contraseñas por defecto
Cadenas de conexión seguras
Transmisión por red segura
Cifrado de datos
Seguridad
Comentarios de: Aportación de la OWASP a la comunidad internacional. Seguridad en las relaciones de confianza. (0)
No hay comentarios