John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de...
-
Upload
nguyenkhanh -
Category
Documents
-
view
223 -
download
0
Transcript of John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de...
![Page 1: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/1.jpg)
![Page 2: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/2.jpg)
![Page 3: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/3.jpg)
Mauricio UrizarJohn Vargas |
OWASP Perú Chapter
![Page 4: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/4.jpg)
![Page 5: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/5.jpg)
![Page 6: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/6.jpg)
Sobre el OWASP LATAM TOUR• Conferencias Gratuitas de Seguridad
• 16 países recorridos durante el mes de abril
• Realizado en Perú desde el 2011
• https://www.owasp.org/index.php/LatamTour2017
• @appseclatam - @owasp_peru
• #OWASPLatamTour2017
![Page 7: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/7.jpg)
OWASP
![Page 8: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/8.jpg)
16Años de servicio a la comunidad
![Page 9: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/9.jpg)
ADN OWASP
OPEN INNOVATION GLOBALINTEGRITY
![Page 10: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/10.jpg)
200Proyectos Activos
![Page 11: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/11.jpg)
250Capítulos Activos
![Page 12: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/12.jpg)
60,000+Participantes en listas de correos
![Page 13: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/13.jpg)
100+Referencias de gobiernos e industrias!
![Page 14: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/14.jpg)
100+Soportes Académicos
![Page 15: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/15.jpg)
Sobre OWASP Perú
• Web: https://www.owasp.org/index.php/Peru
• Twitter: @owasp_Peru
• Reuniones: Ultimo Miércoles de cada mes
• Talleres gratuitos (Mayo)
• OWASP Day (Agosto)
• Conferencia OWASP Latam Tour
• 2 Entrenamientos - OWASP Perú
![Page 16: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/16.jpg)
OWASP Zed Attack Proxy
OWASP Web Testing Environment Project
OWASP OWTF
OWASP Dependency Check
- TOOLS
![Page 17: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/17.jpg)
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
![Page 18: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/18.jpg)
OWASP ModSecurity Core Rule Set Project
OWASP CSRFGuard Project
OWASP AppSensor Project
- CODE
![Page 19: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/19.jpg)
https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project
![Page 20: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/20.jpg)
https://www.owasp.org/index.php/OWASP_AppSensor_Project
![Page 21: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/21.jpg)
OWASP ASVS
OWASP Software Assurance Maturity Model
OWASP AppSensor Project
OWASP Top Ten Project
OWASP Testing Guide Project
- DOCs
![Page 22: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/22.jpg)
https://www.owasp.org/index.php/OWASP_SAMM_Project
![Page 23: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/23.jpg)
![Page 24: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/24.jpg)
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
![Page 25: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/25.jpg)
Soy nuevo en esto, ¿por dónde puedo empezar?
APPSEC Tutorials son videos para iniciarseOWASP TOP 10, la guía clásicaOWASP Cheat Sheets
https://www.owasp.org/index.php/OWASP_Project_Inventory
![Page 26: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/26.jpg)
Quiero entender y analizar vulnerabilidades
Security Shepherd, juego CTF para aprenderWebGoat, sitio vulnerable Java y .Net con lecciones para programadoresOWASP Bricks, un sitio web PHP vulnerable con lecciones
![Page 27: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/27.jpg)
Quiero utilizar herramientas de pentesting y hacer pruebas
OWASP ZAP, es un proxy de ataque, “creme de la creme” tool para hackear tu propio sitioOWTF, un framework completo de pentesting alineado a los últimos estándares de seguridadXenotix Exploit, para experimentar con XSS
![Page 28: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/28.jpg)
Quiero entender y analizar vulnerabilidades
OWASP ASVS es “La Lista” para aplicar al proceso de desarrollo. Son controles técnicos de seguridad.Secure Coding Practices Quick Reference Guide es una checklist para integrar en el SDLC con prácticas y requerimientos de seguridad
![Page 29: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/29.jpg)
Quiero Asegurar mi sitio webQuiero Asegurar mi sitio web
APPSENSOR es un detector de intrusos en su sitioOWASP HTML Sanitizer permite incorporar código HTML de terceros pero manteniendo la protección contra XSS.CRSFGuard, protege su sitio contra ataques de CRSF.
![Page 30: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/30.jpg)
¿Cómo puedo verificar si tengo librerías vulnerables?¿Cómo puedo verificar si tengo librerías vulnerables?
Dependency-Check es una herramienta que identifica dependencias y valida si ha vulnerabilidades conocidasDependencias en Java, .Net y Python se encuentran soportadas.
![Page 31: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/31.jpg)
¿Existe alguna guía para programadores?¿Existe alguna guía para programadores?
OWASP Developer Guide es el proyecto original de OWASP, publicado por primera vez en 2002.
![Page 32: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/32.jpg)
¿Cómo puedo verificar si tengo librerías vulnerables?¿Cómo puedo verificar si tengo librerías vulnerables?CODE REVIEW GUIDELINES indican como validar y revisar el código fuente en búsqueda de vulnerabilidadesO2 PLATFORM permite un análisis estático robusto junto con ser una herramienta poderosa para prototipos y desarrollo ágil en .Net
Me gustaría poder analizar código fuente con más detalleMe gustaría poder analizar código fuente con más detalle
![Page 33: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/33.jpg)
Otros proyectos de OWASP• OWASP Application Security Guide For CISOs Project
• OWASP Cornucopia
• OWASP Proactive Controls
• OWASP Broken Web Applications Project
![Page 34: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/34.jpg)
John Vargas | [email protected] Perú Chapter Leader
![Page 35: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/35.jpg)
https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs
![Page 36: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/36.jpg)
AGENDA
![Page 37: John Vargas | Mauricio Urizar · tool para hackear tu propio sitio OWTF, un framework completo de pentesting alineado a los últimos estándares de seguridad Xenotix Exploit, para](https://reader036.fdocuments.mx/reader036/viewer/2022062311/5c5eeccc09d3f20b6b8c7eb3/html5/thumbnails/37.jpg)
¡Muchas Gracias!
Capítulo OWASP Perú
Abril 2017