La Comunidad DragonJAR » owasp

Vídeo tutoriales sobre seguridad Web por OWASP

DragoN — Wed, 06 Jul 2011 23:21:06 +0000

El proyecto Open Web Application Security Project (OWASP), quien constantemente publica informacion, herramientas y pautas para aseguridad nuestras aplicaciones web, comenzó un proyecto llamado “AppSec Tutorial Series” que busca por medio de Video Tutoriales, ayudar a los desarrolladores a conocer, detectar y reparar los errores de seguridad mas comunes en el mundo de las aplicaciones web.

Estos video tutoriales realizados por Jerry Hoof son bastante cortos (10 minutos aproximadamente), pero de forma grafica y muy clara cumplen su objetivo, estaremos atentos a nuevas publicaciones de la serie “AppSec Tutorial” desde la Comunidad DragonJAR y actualizaremos

Par Mas Información:
Visita el Canal Oficial de la Iniciativa en Youtube

También puede interesarte...

¿Cómo se realiza un Pentest?

DragoN — Mon, 19 Jul 2010 20:14:16 +0000

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración.

Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest.

Para terminar, les dejo las diapositivas utilizadas por Alejandro Ramos de SbD, para dictar su charla sobre Pentest en el Curso de Verano sobre Seguridad Informática que realizó hace poco en Valencia, España; Me gustaron mucho por que logró resumir en estos slides, todo el proceso que se lleva a cabo durante un pentest, de forma bastante gráfica y fácil de entender.

Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración.

También puede interesarte...

Memorias del VI OWASP Spain Chapter Meeting

DragoN — Thu, 15 Jul 2010 05:00:50 +0000

El pasado 18 de Junio de 2010 se realizó en Barcelona, la VI edición del OWASP Spain Chapter Meeting, un evento gratuito en el que varios expertos en temas de seguridad web, se reúnen para hablar sobre los problemas de seguridad en las aplicaciones web.

Este año, la gente de PoisonClub.com.ar, se ha tomado el trabajo de grabar, editar y publicar las charlas en vídeo, para que todos nosotros podamos disfrutar de ellas sin problemas, los dejo entonces con las memorias del VI OWASP Spain Chapter Meeting, espero que lo disfruten.

En la primera charla Richard Stallman, explica las metas y la filosofía del movimiento del Software Libre, y el estado y la historia del sistema operativo GNU, el cual conjuntamente con el núcleo Linux actualmente es utilizado por decenas de millones de personas en todo el mundo.

Duración: 100 Minutos aprox.

Después de Stallman Fabio Cerullo. AIB Group. OWASP Global Education Committee, nos habla sobre el TOP 10 de los diez riesgos más importantes en aplicaciones web 2010 para OWASP.

Duración: aprox 65 Minutos

En la tercera charla, David del Pozo González nos habla sobre una herramienta de seguridad para detectar fallos llamado: WAPITI: Seguridad para Desarrolladores Web en el Proyecto Romulus

Duración: aprox. 38 Minutos

Diapositivas de la Charla

Después de esta charla Christian Martorella de S21sec, nos habla sobre cómo los ataques de fuerza bruta siguen siendo útiles contra las aplicaciones Web y nos presenta la última versión de Webslayer, un proyecto OWASP orientado a cubrir todas las necesidades de las pruebas de fuerza bruta contra las aplicaciones Web.

Duración: aprox. 55 Minutos

Esas fueron las memorias del VI OWASP Spain Chapter Meeting, si desean mas información sobre este evento, pueden entrar a la pagina oficial del evento dentro de la Wiki de OWASP.

También puede interesarte...

reDoS – Denegación de Servicios con Expresiones Regulares

DragoN — Thu, 20 May 2010 23:13:59 +0000

Últimamente el termino Denegación de Servicio, cada vez se vuelve mas popular, posiblemente la masificación de las famosas botnets sean causantes de esto. Existen muchos tipos de ataques de Denegación de Servicio o DoS (Denial of Service), cuyo principal objetivo es atentar contra uno de los 3 pilares sobre los que se basa la seguridad de la información. La Disponibilidad.

En esta ocasión les traigo un texto bastante interesante que nos habla sobre un nuevo tipo de DoS, la Denegación de Servicio en la validación de Expresiones Regulares, o lo que se conoce por reDoS.

El reDoS, fue presentado por primera vez en el año 2009 durante la Open Web Application Security Project (OWASP) Israel Conference. En esa presentación se explicaba como una expresión regular pobremente escrita podía ser explotada para realizar un DoS.

Los dejo entonces con el paper sobre reDoS, escrito por David Kotriksnov, mas conocido en la red como SH4V

Si deseas descargar este paper, puedes hacerlo por medio de este enlace.

Mas Información:
Regular expression Denial of Service – ReDoS

También puede interesarte...

TOP 10 Fallos de Seguridad en Aplicaciones Web

DragoN — Mon, 12 Apr 2010 07:08:17 +0000

El proyecto OWASP (Open Web Application Security Project) ha publicado la actualización al año 2010 de su famoso TOP 10 con los mayores riesgos asociados a las aplicaciones web.

En esta nueva edición del TOP 10 se nota como intencionalmente han querido eliminar de la listas algunas vulnerabilidades específicas, para enfocarse más en los riesgos de seguridad que representan estas vulnerabilidades. Este nuevo enfoque sobre riesgos de seguridad en las aplicaciones web tienen por objeto impulsar a las organizaciones, a madurar más la comprensión y gestión de aplicaciones de seguridad a través de su organización.

La OWASP indica que el Top 10 para el 2010 es:

Inyección
Cross-Site Scripting (XSS)
Interrupción de la autenticación y administración de sesiones
Referencias de Objetos Directos Inseguros
Falsificación de Solicitud Cross-Site (CSRF)
La configuración errónea de Seguridad
Cifrado de Almacenamiento Inseguro
Falla al restringir el acceso URL
Insuficiente protección de la capa de transporte
Redirecciones sin validar y hacia adelante.

Más Información:
Anuncio en la Página Oficial de OWASP

También puede interesarte...

Tercer Encuentro Internacional de Seguridad Informática – Día III

DragoN — Fri, 09 Oct 2009 06:03:49 +0000

En este tercer y ultimo día del tercer encuentro internacional de seguridad informática se esperan con ansias 2 charlas la de luciano bello sobre el famoso bug en el openssl que fue presentado en la el defcon 16 y la de chema alonso sobre LDAP Injection & Blind LDAP Injection que presento en la black hat del año pasado, ademas la premiación del wargame (que por segunda vez se lo gana un equipo de La Comunidad DragonJAR) y como no…. el remate

Empezamos el día con david batanero y su charla sobre la tecnología GSM, en la que nos explica como funciona, los posibles ataques que se pueden realizar sobre esta tecnológica y por que debemos poner mas atención a la seguridad de nuestros dispositivos móviles.

Descargar Charla de David Batanero sobre GSM

Después martín rubio nos presenta su charla en la que habla de como ser un hacker realmente, que necesitamos saber y hacer para realmente ser catalogado como un hacker.

Descargar Charla de Martin Rubio sobre Como ser un Hacker Realmente

Leonardo Huertas, también conocido como SamuraiBlanco, moderador global en nuestra comunidad, compartió con nosotros su charla sobre Equipos Gubernamentales de respuesta a incidentes de seguridad de la información (CSIRT), en la que explica como crear un CSIRT, para que sirve y como va el proceso de la creación de un CSIRT colombiano.

Descargar Charla de Leonardo Huertas sobre CSIRT

Después de leonardo una de las charlas mas esperadas del EISI, Luciano Bello nos explica el famoso fallo del openssl que afecto a la distribución Debian y sus derivadas, nos habla sobre la historia del fallo, como fue descubierto y nos enseña de una forma practica y amena como se explota esta vulnerabilidad.

Descargar Charla de Luciano Bello sobre predicción de números aleatorios en openssl

Después de luciano seguía mi charla sobre Amenazas y Contramedidas de seguridad Web, en ella explicaba los fallos mas comunes que encontramos en aplicaciones o sitios web (algunas se encuentran en el top 10 del proyecto OWASP) y cómo evitar ser victima de estos ataques a nivel de usuario y desarrollador, como les prometí comparto con ustedes la charla y todo un entorno portable para aumentar sus conocimientos en esta área.

Descargar Charla de Jaime Andrés Restrepo sobre Amenazas y Contramedidas de Seguridad Web

Después de mi charla, chema alonso nos presentaría su charla sobre LDAP Injection & Blind LDAP Injection pero decidió darnos una sorpresa que no esperábamos, en vez de dar la charla que tenia programada, en esta ocasión nos hablaría de una nueva técnica descubierta por el equipo de informatica64 llamada Connection String Attacks, la cual permite inyectar parámetros arbitrarios a la configuración de conexión en un servidor ):-D, esta charla fue expuesta por primera vez en la pasada ekoparty y nos trajo el tema “fresquito” a Colombia .

En su blog (un informático del lado del mal) chema nos explica mas en detalle las Connection String Attacks

Descargar Charla de Chema Alonso sobre Connection String Attacks

La ultima charla del EISI, titulada “Falsos Antivirus (El negocio detrás de estos)” estuvo a cargo de Marcelo Rivero, en ella nos relata una historia verídica de una infección y poco a poco nos explica como funcionan los falsos antivirus y cual es el negocio de delincuencia organizada que opera detrás de ellos, seguimos a la espera de las memorias que pronto nos enviara marcelo rivero para todos nuestros visitantes.

Después de la ultima charla se pasa a realizar la premiación del wargame (el cual explicaremos en detalle en un próximo post) los equipos “DragonJAR” y “PST” ocuparon el primer y segundo lugar respectivamente, desde aquí una sinceras felicitaciones a los 2 equipos por el trabajo realizado.

En el foro de cierre los ponentes darían su opinión sobre el pasado, presente y futuro de la seguridad informática y después se pasaría a las preguntas del publico, fue un excelente espacio para aclarar algunas dudas y compartir con todos los asistentes del evento.

Como no podía faltar en un evento de este tipo un excelente remate en el reconocido bar-c de la ciudad de Manizales.

Revisa el reporte de los otros 2 días:

También puede interesarte...

OWASP Testing Guide 3.0 en Español

4v4t4r — Mon, 13 Jul 2009 18:04:59 +0000

Se encuentra disponible la versión número 3 de la Guía de Testing OWASP.

El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.

Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:

El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.

El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:

El alcance de qué se debe probar
Principios del testing
Explicación de las técnicas de pruebas
Explicación del marco de pruebas del OWASP

En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.

Fragmento del contenido temático:

Pruebas de intrusión de aplicaciones Web
Spiders, Robots, y Crawlers
Pruebas de firma digital de aplicaciones web
Analisis de codigos de error
Pruebas de SSL/TLS
Pruebas del receptor de escucha de la BBDD
Archivos antiguos, copias de seguridad y sin referencias
Metodos http y XST
Comprobación del sistema de autenticación
Transmision de credenciales a traves de un canal cifrado
Enumeracion de Usuarios
Cuentas de usuario adivinables (diccionario) O por defecto
Fuerza bruta
Saltarse el sistema de autenticación
Pruebas de gestión del caché de navegación y de salida de sesión
Pruebas de Captcha
Pruebas para atributos de cookies
Pruebas para CSRF
Pruebas de ruta transversal
Pruebas de escalada de privilegios
Pruebas de cross site scripting Reflejado
Inyeccion SQL
Inyeccion XML
Pruebas de desbordamiento de búfer
Pruebas de HTTP Splitting/Smuggling
Pruebas de denegación de servicio

Más información (Web oficial del proyecto OWASP)

Descargar Guía de pruebas OWASP (OWASP Testing Guide 3.0) (Password: www.dragonjar.org)

También puede interesarte...

Charla de Seguridad Web Gratuita – Barcelona España

DragoN — Sun, 10 May 2009 18:19:38 +0000

El próximo Viernes 15 de Maryo de 2009 se realizara en el Ateneu Barcelonès de Barcelona, la quinta versión del OWASP Spain Chapter Meeting, una serie de charlas sobre seguridad web patrocinadas por el Proyecto OWASP.

Las charlas no tienen ningún costo y para asistir únicamente es necesario que los asistentes envíen un correo a “vicente.aguilera@owasp.org” indicando en el asunto del mensaje la palabra “INSCRIPCIÓN”. Solicita el certificado de asistencia y consigue CPEs.

La programación es excelentes, con ponentes reconocidos en el sector de la seguridad web y unas temáticas que no tienen nada que envidiar a un congreso internacional sobre el tema.

PROGRAMACION DEL QUINTO OWASP SPAIN CHAPTER MEETING (BARCELONA)

15:00h-15:30h	Registro
15:30h-15:35h	Bienvenida y presentación del evento. Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA. OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.
15:35h-16:30h	Sintonizar la función de seguridad con el negocio. Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad. Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM. Miembro del consejo asesor de SANS Institute.
16:30h-17:25h	LDAP Injection & Blind LDAP Injection. Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas. Chema Alonso. Microsoft MVP Windows Security. Consultor de Seguridad. Informatica64.
17:25h-18:00h	Coffe-break
18:00h-18:55h	Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica. En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior. Jorge Martín, Inspector. Jefe del grupo de Seguridad Lógica. Brigada de Investigación Tecnológica. Cuerpo Nacional de Policía.
18:55h-19:50h	Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP. Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web. Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young. Daniel Muñiz Marchante. Consultor. Ernst & Young
19:50h-20:25h	Mesa redonda. Se abrirá un debate sobre alguna temática relacionada con la seguridad y las aplicaciones web, entre los distintos ponentes y los invitados: Francesc Rovirosa i Raduà. G.O d’Integració Tecnològica. Universitat Oberta de Catalunya (UOC) Gabriel Martí. Vocal de la Junta Directiva General. Responsable de los servicios ATInet. (ATI).
20:25h-20:30h	Despedida y cierre del evento. Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA. OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.

Los que puedan asistir a este evento, les pido el favor que envien las memorias a dragonjar (at) gmail.com para compartirlas con toda la comunidad.

También puede interesarte...

OWASP.TV, videos en línea de las conferencias OWASP

4v4t4r — Mon, 15 Dec 2008 16:26:53 +0000

OWASP.TV es el nuevo recurso publicado por el proyecto OWASP (Open Web Application Security Project – Proyecto de seguridad de aplicaciones Web Abiertas), el cual ofrece el registro en video de las diferentes conferencias /capítulos realizados por el proyecto OWASP.

Estos videos son una grata solución para muchos de los que hemos deseado participar en estos eventos, pero que por diferentes motivos no podemos hacerlo.

En los recursos publicados actualmente podemos encontrar las presentaciones que hacen parte de la OWASP NYC AppSec 2008 Conference:

Analysis of the Web Hacking Incidents Database (WHID)

Web Application Security Road Map

DHS Software Assurance Initiatives

New 0-Day Browser Exploits: Clickjacking – yea, this is bad…

Security Assessing Java RMI

w3af – A Framework to own the web

Multidisciplinary Bank Attacks

Spearfishing and the OWASP Live CD

Payment Card Data Security and the new Enterprise Java

Best Practices Guide for Web Application Firewalls

Red And Tiger Team Application Security Projects

“Help Wanted” 7 Things You Need to Know APPSEC/INFOSEC Employment

Open Reverse Benchmarking Project

NIST and SAMATE Static Analysis Tool Exposition (SATE)

Lotus Notes/Domino Web Application Security

The OWASP Orizon Project: towards version 1.0

Building Usable Security

OWASP EU Summit Portugal

Entre sus metas se espera que sean publicadas todas y cada una de las conferencias, esperemos que así sea.

En Labs.DragonJAR.org, venimos publicando algunos laboratorios aplicados con algunos de los proyectos OWASP (Guía de Pruebas, DirBuster, Pantera, RAT Lab CD, WebGoat, entre otros). Más información sobre los laboratorios >>

También puede interesarte...

Laboratorios con Aplicaciones del Proyecto OWASP

DragoN — Wed, 10 Dec 2008 04:44:54 +0000

Hago anuncio oficial del lanzamiento del nuevo recurso de los laboratorios de la Comunidad (Labs.DragonJAR.org). En esta oportunidad se trata de Labs OWASP.

De esta manera, Labs OWASP pretende llevar a cabo diferentes laboratorios (Hack Labs) sobre los diferentes recursos relacionados con los proyectos desarrollados por OWASP (Open Web Application Security Project – Proyecto de seguridad de aplicaciones Web Abiertas).

OWASP cuenta con un amplio repertorio de proyectos, entre ellos destaco algunos de los que veremos en profundidad en estos laboratorios:

Guía de pruebas OWASP, F.A.Q de seguridad en aplicaciones Web OWASP, WebGoat, OWASP Live CD (LABRAT), OWASP Pantera, OWASP WebScarab, OWASP DirBuster.

Estos son los enlaces de lo que he publicado hasta el momento:

- Labs OWASP, Introducción y contenido
- Pruebas de firma digital de aplicaciones Web, netcat, Httprint, Live HTTP headers y Test Online
- Labs OWASP: Descubrimiento de aplicaciones, Nmap
- Labs OWASP: Técnicas de Spidering, wget
- Labs OWASP: Pruebas de SSL/TLS, Nessus, OpenSSL y SSLDigger
- Labs OWASP: Pruebas del recepetor de escucha de la Base de Datos, Integrigy Listener Oracle
- Labs OWASP: Directorios y archivos de configuración ocultos en el servidor, Nikto y Wikto

Para ver los demás laboratorios entrar en Los Laboratorios OWASP de Labs.DragonJAR.org.