OWASP Application Security Verification Standard 2013

Quien se mueve por el mundo de la seguridad web, conoce sobradamente Owasp. Organización que se dedica a divulgar y realizar estándar alrededor de la seguridad. Son famosos por su TOP TEN. En el que mediante un estudio que sacan el TOP 10 de las vulnerabilidades. Aquí tenemos una imagen de la evolución del top ten de Owasp al cabo de los años. Pues el artículo de hoy trata sobre el OWASP Application Security Verification Standard 2013 en el que han hecho ahora realease de la BETA. ¿De que trata el proyecto? Básicamente ayudar a la organización de desarrollar y mantener aplicaciones seguras, y para permitir el servicio de seguridad / herramientas de los proveedores y los consumidores. Caso de ejemplo1: Para entender como sería un caso de uso, he extraído uno de la documentación. Use Case 1: Certification of Applications ACME Bank has developed a new Internet Banking portal, which is due to be deployed into their UAT environment. The application has followed the bank’s SDLC process and should be in a secure state. The Internal security team at ACME Bank has been tasked to ensure that once deployed into the UAT environment, it does not pose a risk to other applications, due to it being hosted on a shared platform and database. After an internal threat modeling exercise was performed, it was agreed that the application had a high-risk associated with it and the data stored within it. The team makes use of a well-known web application scanning tool and start the process of mapping out the application in preparation for the automated scanning phase. Once complete, the automated scanning tool is started and left to complete. Once the report has been generated, the security analyst tests for false positives (such as SQL injection, or XSS) and amends the report as necessary. Any findings discovered are reported back to the system owners and development team, in order to be rectified. Once this has been completed, the re-test of the application is resumed to ensure they have been resolved in a suitable manner. In this example, using the ASVS could allow the internal team to test for common application flaws as well as verify that it had been developed in accordance to the banks security standard.  El Owasp ASVS define el estándar en 4 capas: Por ejemplo, el nivel 0 es: An application achieves Level 1 (or Opportunistic) certification if it adequately defends against application security vulnerabilities that are easy to discover.   Para descargar u obtener información sobre el proyecto:...

Leer Más

Flu-Project, troyano Open Source educativo

Hola Dragonautas!, les escribe Seifreed y empezare a colaborar con algunos aportes en la comunidad, espero que sean de su agrado.. Internet nos brinda la oportunidad de participar en muchos proyectos. Yo vengo a presentaros Flu-Project, un proyecto de creación en comunidad de un troyano Open Source. El proyecto es llevado a cabo por Juan Antonio Calles y Pablo González Flu es un troyano reverso que contiene funcionalidades como: XML Reader Process Register Keylogguer Console NAvigation Check Version ¿Como podemos participar en Flu-Project? Pues es tan fácil como registrarse en la web y bajarte el código fuente, y cuando aportes una al proyecto comunicarla a la comunidad con tal de poder seguir mejorando la herramienta. ¿Cual es el objetivo de Flu? El proyecto consiste en el desarrollo de una aplicación para el control remoto de máquinas Windows a través del troyano Flu, orientado a la generación de botnets a través de la tecnología HaaS (Haking as a Service) ¿Bajo que licencia se desarrolla Flu-Project? Flu Project, es un proyecto Open Source, el cual tiene licenciamiento GPL Mas Información: Pagina Oficial del...

Leer Más

ENDIAN una solución gratuita de seguridad perimetral

Endian Firewall es una solución de Seguridad Integral que protege su red y mejora su conectividad, ofreciendo todos los servicios que brinda un UTM y más, con una interface simple y fácil de configurar. En la Campus Party Colombia 2010, nuestro compañero Leonardo Huertas realizo una charla sobre esta solución open source, que permite identificar cada paquete entrante, reconociendo la fuente y el contenido de cada paquete, Endian puede proteger contra intrusiones no deseadas o ataques externos. Les dejo la presentación de la parte teórica sobre Firewalls y...

Leer Más

Fallo en OpenSSL permite obtener clave privada

Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete open source, de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una clave RSA. Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo  mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios”  para reunir la totalidad de su clave de 1024 bits. Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves SSL (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo. Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa. Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo. Mas Información: ‘Severe’ OpenSSL vuln busts public key crypto Boffins Crack OpenSSL Library Using Power Fluctuations Pagina Oficial del...

Leer Más

SystemRescueCD, Recupera tus datos después de un fallo en el sistema

SystemRescueCD es un completo LiveCD orientado a la recuperación de sistemas después de crashes. Viene repleto de utilidades open source que facilitan en gran medida la reparación, además de acceso a la red en caso de ser necesario. El kernel soporta los sistemas de archivos más comunes como ext2, ext3, ext4, ReiserFS, Reiser5, BTRFS, XFS, NTFS, iso9660, así como sistemas de archivos en red como p Samba y NFS. No requiere la instalación de ningún tipo de archivo. Veamos más a fondo la utilidad que nos puede prestar… Contenido del CD Herramientas de particionamiento gráficas, como GParted. Las herramientas de consola más importantes para Linux. Por supuesto, tiene GNU Parted (editor de particiones), Partimage (clonador de disco) para hacer copias de particiones a un único archivo, herramientas de sistemas de archivos (e2fsprogs para ext2/ext3, reiserfsprogs para ReiserFS, reiser4progs para reiser4, xfsprogs para XFS, jfsutils para JFS, dosfstools para FAT, NtfsProgs para NTFS). Ntfs-3g (Ntfs driver third generation) proporciona soporte completa para lectura-escritura en particiones NTFS desde Linux. Clam-AntiVirus. Software Antivirus gratuito. Herramientas usuales para Linuxeros: tar/gzip/bzip2 para archivar. Las mismas herramientas para usuarios de Windows: zip/unzip, rar/unrar, p7zip are provided. Esto significa que tienes la posibilidad de hacer una copia/restaurar tus datos de Windows. Midnight-Commander (escribir “mc” en la consola) es clon libre del Norton Commander. Con mc, es sencillo navegar, copiar, mover, editar los archivos de tu equipo. Si no sabes los comandos Linux básicos, puedes usar mc. Puedes usar lynx ó links. Ambos son navegadores livianos. Funcionando con FrameBuffer, puedes pasarle parámetros a la línea de comandos del programa links. Te activará el modo gráfico y mostrará imágenes, además de proporcionar una amigable interfaz. Por supuesto los editores son importantes cuando tienes problemas. Nano (edito sencillo),vim (vi mejorado) y qemacs (clon de emacs) son proporcionados en modo texto. El entorno gráfico X.Org / Xvesa y el gestor de ventanas WindowMaker. Te permite usar programas gráficos como GParted, editores (gvim y leafpad), y Firefox-2.0 (puede que necesites ayuda en Internet). Como podemos ver, SystemRescueCD tiene todas las herramientas que necesitamos para recuperar nuestra información después de un fallo en nuestro sistema, esperamos que nunca tengas la necesidad de utilizarlo, pero siempre es recomendable tener este tipo de herramientas a la mano en caso de una emergencia. Descargar System Rescue...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices