Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
-
Upload
fredy-alexander-castellanos-avila -
Category
Documents
-
view
220 -
download
0
Transcript of Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 1/32
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 2/32
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 3/32
OB/E0I1O 2ENERAL Anali"ar ! $e*orar la se'uridad %eb en el
portal del Observatorio Municipal del delito, elconicto ! la pobre"a de Bucara$an'a)
Aplicando el pro!ecto de se'uridad deO3ASP)
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 4/32
OB/E0I1OS ESPECI4ICOS• Aplicar el an5lisis de vulnerabilidades del 0op 67
O3ASP al portal del observatorio Municipal del delito,el conicto ! la pobre"a de Bucara$an'a, $ostrandoprocesos de identi.caci-n, rastreo ! dia'n-stico de
los proble$as de se'uridad del portal)• De$ostrar el uso de +erra$ientas de so#t%are libre
para la i$plantaci-n del pro!ecto O3ASP !reali"aci-n de labores de auditor&a %eb)
•
Establecer un plan de traba*o basado en loencontrado con $iras a proponer estrate'iascorrectivas para $iti'ar los ries'os detectados)
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 5/32
O3ASP• El pro!ecto $)AS" 8$-en )eb A--lication
Secrity "ro/ect9 est5 dise:ado co$o un $arcode traba*o (ue a!ude en el proceso del ciclo de
desarrollo del so#t%are 8SDLC9, ;sta provee unasoluci-n e<ible (ue $e*ora el proceso dedesarrollo, teniendo en cuenta desde el inicio elte$a de la se'uridad en la in'enier&a del so#t%are)
DESARROLLO DEL PRO=EC0O
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 6/32
0OP 67 O3ASP
l to- 01 de $)AS" in#or$a sobrevulnerabilidades en aplicaciones %eb se basa enin#or$aci-n sobre rie'os provenientes de 2 3r4ases-ecializadas en segridad de aplicaciones)
Asi$is$o, estas vulnerabilidades son priori"adasde acuerdo al nivel de e5-lotaci6n* detecci6n ei4-acto esti4ado)
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 7/32
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 8/32
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 9/32
"!U%A I('!USI$( A"#ICACI$(S
)%Es un $;todo de evaluar la se'uridad de un
siste$a de co$putadores o una red $ediante la
si$ulaci-n de un ata(ue) ?na prueba de intrusi-n a una %eb co$o la delObservatorio Metropolitano de Bucara$an'aest5 en#ocada sola$ente a evaluar la se'uridad
de dic+a aplicaci-n %eb
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 10/32
7'$D$#$GIA D "!U%A $)AS"• Las pruebas de intrusi-n nunca ser5n una ciencia e<acta
$ediante la cual se pueda de.nir una lista co$pleta detodas las incidencias posibles (ue deber&an serco$probadas) De +ec+o, las pruebas de intrusi-n sonsolo una t;cnica apropiada para co$probar la se'uridadde aplicaciones %eb ba*o ciertas circunstancias)
• Basado en la 'u&a de pruebas O3ASP estas son al'unas
pruebas (ue +ici$os en nuestra pa'ina %eb DelitoBucara$an'a@
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 11/32
REOCOPILACION IN4ORMACION
P?ER0OS ABIER0OS
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 12/32
0ECNOLO2IAS 3EB ?SADAS EN LA PA2INA?SO 3A03EB
+ttps@drive)'oo'le)co$.led7B6=<tPL+
aRFlGR?G0?t(S2Mvie%Husps+arin'
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 13/32
SIS0EMA OPERA0I1O ?SADO
OS0Dentro del ter$inal de ali Linu< teclea$os la si'uiente orden@<probeJ Kv %%%)delitobucara$an'a)co$
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 14/32
IN4ORMACION PA2INA 3EB EN LINEA
• Se puede saber usando la p5'ina %eb de
netcra#t $5s datos t;cnicos d5ndole clic alsi'uiente linF@
• +ttp@toolbar)netcra#t)co$sitereportHur
lunde.nedlastreboot
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 15/32
DESC?BRIMIEN0O APLICACIONES
• E<istencia aplicaciones en los puertos@
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 16/32
SPIDERS , ROBO0 = CRA3LERS ?SO 3EBSA2
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 17/32
IDEN0I4ICACION P?N0O EN0RADA APLICACIÓN•
Inspecci-n de c-di'o delito Bucara$an'a)
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 18/32
PR?EBA DE 4?ERGA BR?0A ?SO=DRA
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 19/32
PR?EBA 1ALIDACION DE DA0OS?SO SSER
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 20/32
?SO SLMAP DELI0O B?CARAMAN2A
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 21/32
PR?EBAS SER1ICIOS 3EB?SO LI1E 00PEADERS
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 22/32
?SO DE 4IRE4O 0AMPERDA0A
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 23/32
J7"#$ D "!U%A J$$7SCA(
J$$7SCA7 en e/ecci6n8
Para ver la lista de vulnerabilidades (ue detecta$os en esta+erra$ienta dar clic al si'uiente linF@+ttps@drive)'oo'le)co$.led7B6=<tPL+a?J%c31!Np4?l?vie%Husps+arin'
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 24/32
J7"#$ D "!U%A)9AF
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 25/32
• Detecci-n 1ulnerabilidad 3A4@
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 26/32
• Secci-n E<ploit 3A4
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 27/32
J7"#$ D "!U%A
$)AS":;A")Descubriendo 1ulnerabilidades@
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 28/32
Resultados del In#or$e O3ASPGAP@
• ver todas las vulnerabilidades encontradas en el anterior escaneo ver el si'uientelinF@+ttps@drive)'oo'le)co$.led7B6=<tPL+aSFp$d$o60$pi=F+Ebd!=*lIRB6S7+%0J1vvie%Husps+arin'
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 29/32
CONCL?SIONES• Al +acer pruebas con diversas +erra$ientas so#t%are incluidas en la suite de ali
Linu< encontra$os in#or$aci-n relevante en nuestra p5'ina %eb co$o sudirecci-n IP , 'estor de contenido usado, cone<iones abiertas, siste$a operativousado en el Servidor, servicios de so#t%are usados por al'unos puertos entre otras,esta in#or$aci-n es relevante !a (ue al'Qn potencial atacante la puede usar para+acer un ata(ue $5s e#ectivo a esta p5'ina, recorde$os (ue una de las #ases deata(ue in#or$5tico es la recolecci-n de la in#or$aci-n sea por $edio de 'oo'le ode uso de +erra$ientas auto$ati"adas co$o las (ue est5n en la suite de ali Linu<
• Pode$os ver (ue en la #ase de pruebas para tener ;<ito en el descubri$iento devulnerabilidades de una aplicaci-n %eb tene$os (ue usar +erra$ientasauto$ati"adas de la suite ali Linu< ! coloca$os al'unas de ellas co$o e*e$plo,encontr5ndose vulnerabilidades ! las coloca$os por $edio de un linF para (ue en
un #uturo $ediano se ten'a en para #uturas $e*oras de se'uridad de la p5'ina %ebdelito Bucara$an'a en su versi-n NJ)
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 30/32
RECOMENDACIONES• "ara las vlnerabilidades ti-o <SS8• codi.car los datos no con.ables basados en el conte<to
0ML• validar ele$entos de los datos co$o sus caracteres ! el
#or$ato de estos antes de aceptarlos co$o entrada enuna aplicaci-n %eb)
• Contar con soluciones de se'uridad instaladas !actuali"adas co$o los antivirus o .re%all
• revisar los linFs en la barra de nave'aci-n, (ue cuando lap5'ina car'ue este al principio asi +ttps@
•
Se su'iere el uso de nave'adores alternativos a losconocidos, incluso el nave'ador 4ire#o< per$iteco$ple$ento co$o NoScript
8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo
http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 31/32