Labs OWASP, Introducción y contenido

Labs OWASP nace como una nueva propuesta de laboratorios virtuales y presenciales de Labs.DragonJAR.org.

De esta manera, Labs OWASP pretende llevar a cabo diferentes laboratorios (Hack Labs) sobre los diferentes recursos relacionados con los proyectos desarrollados por OWASP (Open Web Application Security Project - Proyecto de seguridad de aplicaciones Web Abiertas).

OWASP cuenta con un amplio repertorio de proyectos, entre ellos destaco algunos de los que veremos en profundidad en estos laboratorios:

Guía de pruebas OWASP, F.A.Q de seguridad en aplicaciones Web OWASP, WebGoat, OWASP Live CD (LABRAT), OWASP Pantera, OWASP WebScarab, OWASP DirBuster.

El contenido temático de los laboratorios estará basado en el propio contenido de la Guía de pruebas de Seguridad OWASP.

Dejo entonces una corta definición sobre el contenido de esta Guía y la temática de la misma:

El Proyecto de Pruebas OWASP ha estado en desarrollo durante muchos años. Queríamos ayudar a la gente a entender el que, porque, cuando como probar sus aplicaciones web, y no tan solo proveer con un simple listado de comprobación o una prescripción de acciones específicas que deben ser atendidas. Queríamos realizar un marco de desarrollo de pruebas a partir del cual otros pudiesen crear sus propios programas de test, o evaluar los procesos de otros. Escribir el Proyecto de Pruebas ha demostrado ser una tarea difícil. Ha sido todo un reto conseguir un cierto consenso y desarrollar el contenido apropiado, que permitiese a la gente aplicar el contenido y marco de trabajo global aquí descrito y a la vez también les permitiese trabajar dentro de su propio entorno y cultura. También ha sido un reto el cambiar el enfoque de la realización de pruebas sobre aplicaciones web de tests de penetración a las pruebas integradas en el ciclo de desarrollo del software. Muchos expertos en la industria y responsables de la seguridad del software en algunas de las mayores empresas del mundo dan validez al Marco de Pruebas, presentado como Partes 1 y 2 del Marco de Pruebas OWASP. Este marco de trabajo tiene por objetivo, más que simplemente resaltar áreas con carencias, ayudar a las organizaciones a comprobar sus aplicaciones web con el propósito de construir software fiable y seguro, aunque ciertamente lo primero se obtiene gracias a muchas de las guías y listados de comprobación del OWASP. Debido a ello, hemos hecho algunas decisiones difíciles sobre la conveniencia de algunas tecnologías y técnicas de pruebas, que entendemos por completo que no serían aceptadas por todo el mundo. Sin embargo, el proyecto OWASP es capaz de colocarse en un plano superior de autoridad y cambiar la cultura de conocimiento existente, mediante la educación y la concienciación basadas en el consenso y la experiencia, preferentemente a tomar la vía del “mínimo común denominador.”

El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo. El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:

  • El alcance de qué se debe probar
  • Principios del testing
  • Explicación de las técnicas de pruebas
  • Explicación del marco de pruebas del OWASP

En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.

El contenido temático es el siguiente:

  • El entorno de pruebas OWASP
  • Pruebas de intrusión de aplicaciones Web
  • Descubrimiento de aplicaciones
  • Técnicas de Spidering y googling
  • Fuerza bruta
  • Saltarse el sistema de autenticación
  • HTTP Exploit
  • Cross Site Scripting
  • Inyección SQL
  • Pruebas de Oracle
  • Pruebas de MySQL
  • Pruebas de SQL Server
  • Pruebas de desbordamiento de búfer
  • Pruebas de denegación de servicio
  • Comprobación de servicios web
  • Pruebas de AJAX
  • Herramientas de comprobación
  • Vectores de fuzzing

El desarrollo de los laboratorios será llevado a cabo en modo video tutorial, posiblemente incluyan algún audio que detalle un poco mas lo que se ve en pantalla.

Prefiero dejar un poco de lado el texto en cada post, pues la idea es que cada video tutorial sea acompañado de la lectura de la Guía Oficial y de los enlaces que publique.

Para terminar, enlazo algunos recursos indispensables para llevar y acompañar las diferentes publicaciones que haga en el Blog.

Descargar Guía de Prubas OWASP (Password: www.dragonjar.org)
Descargar FAQ OWASP (www.dragonjar.org)

Subir