Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Logo
Empresa
Ponente
Fecha: 15 de marzo de 2012 ISACA Valencia - 2012 / 2013
Análisis de Seguridad Web: Guía de Testeo OWASP
Carlos Sahuquillo
@csahuqui on Twitter
Consultor de Seguridad e Infraestructuras
GMV
Logo
Empresa
Ponente
LA
INFORMACIÓN
15/03/2012 2 / 26 ISACA Valencia - 2012 / 2013
¿Qué debemos proteger?
Logo
Empresa
Ponente
Activo
ISACA Valencia - 2012 / 2013 15/03/2012
Conceptos básicos
3 / 26
Logo
Empresa
Ponente
Amenaza
ISACA Valencia - 2012 / 2013 15/03/2012
Conceptos básicos
4 / 26
Logo
Empresa
Ponente
Vulnerabilidad
ISACA Valencia - 2012 / 2013 15/03/2012
Conceptos básicos
5 / 26
Logo
Empresa
Ponente
Controles
correctivos
Controles preventivos
Seguridad del entorno
ISACA Valencia - 2012 / 2013 15/03/2012
¿Qué es la gestión del riesgo?
6 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
¿Qué es una auditoría de seguridad informática?
Una auditoría de seguridad, es el análisis y estudio de un sistema, para
intentar conocer sus limitaciones (vulnerabilidades, debilidades, riesgos,
etc.) y posteriormente poder corregirlas.
¿Qué es un test de intrusión?
Es un tipo de auditoría de seguridad en la que el auditor se centra en
localizar las vulnerabilidades del sistema que puedan permitir el acceso de
alguien no autorizado. Según la definición de OSSTMM, es un Test de
seguridad con un objetivo definido que finaliza cuando el objetivo es
alcanzado o el tiempo ha terminado.
Auditoría Informática
15/03/2012 7 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
Tener criterio informado sobre:
Conformidad
Efectividad del sistema
Realizar decisiones de negocio efectivas
Distribuir recursos
Mejorar los procesos críticos de
negocio
El valor de las auditorías
15/03/2012 8 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
Recoger Información
Escaneo de direcciones IP
Evaluar la información obtenida
Explotar servicios vulnerables
Elevar el acceso
Principales metodologías:
– OWASP
– OSSTMM
Necesitamos una técnica: Test de intrusión
15/03/2012 9 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
“Neque porro quisquam est qui dolorem ipsum quia dolor sit
amet, consectetur, adipisci velit”
Cicerón, 45 a.C.
«A nadie le gusta el dolor para sí mismo, o lo busca y desea
tenerlo, apenas porque es dolor...»
Auditoría interna
15/03/2012 10 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
Fue creada en el año 2000 por ISECOM (Institute for Security
and Open Methodologies).
Pretende ir mas allá de la ‘fotografía’ actual del sistema,
enriqueciendola con los Análisis de Riesgos.
Desarrollado por Pete Herzog, es un documento vivo que
define el marco de buenas prácticas sobre cómo hacer un test
de intrusión.
OSSTMM (1)
15/03/2012 11 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
Se divide en 6 grandes grupos:
– Seguridad de la Información
– Seguridad de los Procesos
– Seguridad en las tecnologías de Internet
– Seguridad en las Comunicaciones
– Seguridad Inalámbrica
– Seguridad Física
OSSTMM (2)
15/03/2012 12 / 26
Logo
Empresa
Ponente
15/03/2012 ISACA Valencia - 2012 / 2013
El proyecto de seguridad en aplicaciones Web (OWASP)
(@owasp en Twitter) es una comunidad abierta y libre de nivel
mundial enfocada en mejorar la seguridad en las aplicaciones.
El proyecto se organiza en 3 guías:
– La guía de desarrollo
– La guía de revisión del código
– La guía de pruebas
Y en otros documentos y herramientas:
– Documento de autoevaluación OWASP Top 10.
– WebGoat, la herramienta de pruebas de penetración
– WebScarab, la herramienta de intrusión.
– Herramientas de seguridad para entornos .NET OWASP DotNet
OWASP
13 / 26
Logo
Empresa
Ponente
15/03/2012 ISACA Valencia - 2012 / 2013
OWASP dispone de capítulos por todo el mundo organizados
por países.
Es noticia por el caso LuzSec con un miembro de la directiva
de UK.
OWASP (2)
14 / 26
Logo
Empresa
Ponente
15/03/2012 ISACA Valencia - 2012 / 2013
Compendio de buenas costumbres y de sugerencias a
implantar en el proceso de codificación de aplicaciones web
para poder generar aplicaciones de calidad en cuanto a
seguridad se refiere.
OWASP: La guía de desarrollo
15 / 26
Logo
Empresa
Ponente
15/03/2012 ISACA Valencia - 2012 / 2013
Metodologías y pistas para recorrer el código yendo lo más
directo posible al problema y la magnífica lista de malas
prácticas en el desarrollo de diversos lenguajes
(Java,ASP,PHP,C,C++ y SQL).
OWASP: La guía de revisión de código
16 / 26
Logo
Empresa
Ponente
15/03/2012 ISACA Valencia - 2012 / 2013
Resume y muestra los posibles puntos de entrada en las
aplicaciones y cómo explotarlos.
66 controles divididos en 5 categorías temporales y una
general:
– Antes de empezar el desarrollo
– Durante el diseño y definición
– Durante el desarrollo
– Durante la implementación
– Mantenimiento y operaciones
– Intrusión de aplicaciones Web.
OWASP: La guía de pruebas
17 / 26
Logo
Empresa
Ponente
15/03/2012 ISACA Valencia - 2012 / 2013
WebGoat es una aplicación web J2EE deliberadamente
insegura, diseñada para enseñar lecciones de seguridad en
aplicaciones Web.
Actualmente hay mas de 30 lecciones, incluyendo las que
lidian con los siguientes problemas:
– Secuencia de Comandos en Sitios Cruzados (Cross Site Scripting)
– Control de acceso
– Manipulación de campos ocultos
– Manipulación de parámetros
– Testigos de sesión inseguros
– Inyección SQL
– Inyección de SQL con números
OWASP: WebGoat
18 / 26
Logo
Empresa
Ponente
15/03/2012 ISACA Valencia - 2012 / 2013
Webscarab es un marco de trabajo para analizar aplicaciones
Web que se comunica usando los protocolos HTTP y HTTPS.
Su uso mas común es operar WebScarab como un proxy de
intercepción, que permite al operador revisar y modificar las
peticiones creadas por el navegador antes de que sean
enviados al servidor, y para revisar y modificar respuestas
enviadas por el servidor antes de que sean recibidas por el
navegador.
Actualmente superado por Burp Suite.
OWASP: WebScarab
19 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
A1: Inyección (SQL, OS, LDAP, etc)
A2: Cross-Site Scripting (XSS)
A3: Manejo de sesiones y ruptura de autentificaciones (fallos
que permiten usar cuentas de otros, listas de claves y de
usuarios,etc)
A4: Insecure Direct Object References (exposición de
estructura interna y de elementos de desarrollo que permita al
atacante suponer métodos y datos predecibles)
A5: Intercepción de peticiones entre sitios (CSRF) (permite
generar peticiones falsas de forma que el usuario piense que
las está realizando en el sitio correcto cuando se trata de uno
falso)
Top vulnerabilidades OWASP (1)
15/03/2012 20 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
A6: Malas configuraciones de seguridad (a nivel de framework,
sistema operativo, aplicaciones de terceros, etc.)
A7: Almacenamiento con fallos de encriptación (tarjetas de
crédito sin encriptar, credenciales, etc.)
A8: Falta de restricción de acceso a URL
A9: Protección insuficiente en la capa de transporte (uso
incorrecto de certificados de seguridad, etc.)
A10: Redirecciones y envíos sin validación
Top vulnerabilidades OWASP (2)
15/03/2012 21 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
Colaboradores
15/03/2012 22 / 26
Logo
Empresa
Ponente
Recopilación de herramientas (1)
http://www.backtrack-linux.org
ISACA Valencia - 2012 / 2013 15/03/2012 23 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013
http://www.vulnerabilityassessment.co.uk/Penetration%20Test.
html
Hack This Site!
Laboratorios Dragonjar http://labs.dragonjar.org/
Syngress Penetration Testers Open Source Toolkit Volume 2
Recopilación de herramientas
15/03/2012 24 / 26
Logo
Empresa
Ponente
ISACA Valencia - 2012 / 2013 15/03/2012
¿Dudas? ¿Preguntas? ¿Donaciones?
25 / 26
Logo
Empresa
Ponente
15/03/2012 26 / TOTAL DIAPOS ISACA Valencia - 2012 / 2013
GRACIAS POR SU ATENCIÓN
Carlos Sahuquillo
@csahuqui on Twitter
Consultor de Seguridad e Infraestructuras
GMV