Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Slides:



Advertisements
Presentaciones similares
Internet y tecnologías web
Advertisements

TEMA 20. OFFICE 2003 E INTERNET: INSERTAR HIPERVÍNCULOS Y NAVEGAR ENTRE ELLOS. GUARDAR COMO PÁGINA WEB.
APACHE.
RECURSOS INTERACTIVOS. Cualificaciones_ NIVELES Permite añadir una definición clara, pública y personalizada de los criterios de calificación para aplicarlos.
CONCEPTOS BASICOS DE INTERNET
Modelando aplicaciones
Instalación y configuración de los servicios Web.
Construcción de Páginas WEB
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Módulo: Diseño de Actividades Educativas con Hot Potatoes
"java del lado del servidor" Servlet y JSP Java Server Pages.
SISTEMA DE NACIMIENTOS MANUAL DEL USUARIO. El objetivo del presente manual es servir de guía al usuario final para interactuar con el Sistema, permitiéndole.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.
Características generales de un servicio Web.
Introducción a ASP.NET.
Mecanismo de petición y respuesta Prof. Manuel Blázquez Ochando
Navegadores WEB.
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
MAIRA LUCIA ORTIZ CAMILO ORTEGON DIAZ CRISTIAN CAMILO VARGAS
TUTORIAL M.A. Fabiola Suseth López Aguirre Espacio Educativo NTIC Universidad de Sonora Septiembre de 2013.
TUTORIAL M.A. Fabiola Suseth López Aguirre Espacio Educativo NTIC Universidad de Sonora Septiembre de 2011.
3 PROGRAMAR EN UN LENGUAJE DE HIPERTEXTO L.I. OSWALDO MARTINEZ C. EDPW.
ACIDE A C onfigurable I ntegrated D evelopment E nvironment (Un entorno integrado de desarrollo configurable)
OWASP - A6 Open Web Application Security Project Riesgo por: Configuración Defectuosa de Seguridad Guillermo David Vélez Álvarez C.C. 71' 763,346.
Análisis del lado del servidor y del lado del cliente Ángel Apolinar Corona Irene Granados García.
Instalación de servidor local y Joomla Piero Cucalón Jacques 2013/10/31 Gestión de Información Web Profesor: Jonathan Vega.
(SESSION INITIATION PROTOCOL)
PROTOCOLO H T T P.
Unidad didáctica 6 Diseño de páginas Web.
Eddy Bermudez.   conservación del aviso de copyright.  no es una licencia copyleft  no requiere la redistribución del código fuente cuando se distribuyen.
Aplicaciones Educativas de la WEB 2.0 Las WIKIS Mtra. Alma Rosa Muñoz Zepeda Mtro. Domingo Villavicencio Aguilar Cuerpo Académico de Procesos Educativos.
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
ADRIAN LOPEZ G. SEBASTIAN OCHOA A. 11ºA FEBRERO 22/2013 CARLOS FERNANDEZ I.E. LA SALLE DE CAMPOAMOR MEDELLIN 2013 PAGINA WEB.
Kleber Andres Loayza Castro Hernán Eduardo Cueva Delgado
Introducción al Lenguaje. ¿Qué es PHP? O Es un lenguaje de programación que es interpretado por un servidor web. O El lenguaje es genérico. PHP está orientado.
Chat para Ciclope Astro Facultad de Informática Universidad Politécnica de Madrid SISTEMAS INFORMÁTICOS 2 de Julio de 2008 Hélène Doumenc
CONGRESO INTERNACIONAL
INTERNET.
Navegadores y buscadores
Introducción al Lenguaje. ¿ Qué es PHP ? O Hypertext Pre-processoes (PHP) es un lenguaje de "código abierto" interpretado, de alto nivel, embebido en.
Cristian Fonnegra Marin
MANUAL DE USO BASES DE DATOS Por: EBSCO Information Services
 Buscador es una página web en la que se ofrece consultar una base de datos en la cual se relacionan direcciones de páginas web con su contenidopágina.
Medición de efectividad y eficiencia de un sitio Web Objetivo Saber cómo impacta la inversión de una cantidad significativa (50% del total de su capital)
Wordpress. ¿Qué es WordPress? WordPress es un sistema de gestión de contenidos (CMS) que permite crear y mantener un blog u otro tipo de web. Con casi.
Seguridad del protocolo HTTP:
File Transfer Protocol.
Desarrollo DE apps móviles
TRABAJO SOBRE LA DEEP WEB
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Naime Cecilia del Toro Alvarez
Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Secuencia de Comandos en Sitios Cruzados XSS
Creación y publicación de sitios web R e d d e P r o f e s o r e s I n n o v a d o r e s Módulo: Creación y publicación de sitios web.
Capítulo 9: Detección de Errores MSc. Alexis Cabrera Mondeja.
Desarrollo DE apps móviles
Introducción al Lenguaje. ¿Qué es PHP? O Es un lenguaje de programación que es interpretado por un servidor web. O El lenguaje es genérico. PHP está orientado.
Manual de Blackboard Collaborate Para participantes.
Modelo Cliente - Servidor. La Web funciona siguiendo el denominado modelo cliente-servidor, habitual en las aplicaciones que funcionan en una red. Existe.
OWASP APPSEC RIO DE LA PLATA dcotelo13
Chat para Ciclope Astro Facultad de Informática Universidad Politécnica de Madrid SISTEMAS INFORMÁTICOS 30 de Junio de 2008 Hélène Doumenc
WordPress. Nombre del Sitio Web Enlaces permanente.
Servicios Web Conjunto de aplicaciones o de tecnologías con capacidad para interoperar en la Web. Estas aplicaciones o tecnologías intercambian datos entre.
Plataformas e- learning Moodle. Instalacion  Descargamos Moodle de su página oficial  Una vez hemos descargado el archivo, lo descomprimimos y copiamos.
GESTIÓN Y ADMINISTRACIÓN WEB. INTRODUCCIÓN A INTERNET Internet constituye una vía de comunicación y una fuente de recursos de información a escala mundial.
Estado del Arte del Desarrollo Seguridad - Toba - Instalador Comité Técnico Consorcio SIU – Mayo 2009 Sebastián Marconi
Transcripción de la presentación:

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP OWASP WebGoat & Webscarab Fabio Cerullo OWASP Irlanda Comité Global de Educación 19 July 2011

OWASP 2 Introducción a WebGoat  Proyecto OWASP con ~150,000 descargas  Aplicación web J2EE deliberadamente insegura  Diseñada para enseñar lecciones de seguridad en aplicaciones Web

OWASP Historia de WebGoat  Donado a OWASP por Aspect Security ~2002  El líder del proyecto es Bruce Mayhew  Comienza a recibir contribuciones ~2005  v5 producida como un proyecto AoC en

OWASP 4 WebGoat demuestra vulnerabilidades  Actualmente hay mas de 30 lecciones sobre:  En definitiva, todo el OWASP Top !

OWASP 5 Dos versiones  Estandar:  La instalación standard es procedimiento de bajar, descomprimir y dar clic.  Viene con el "Java Runtime Environment" y un servidor Tomcat 5.5 ya configurado.  Desarrollador:  La versión de desarrollador tambien es es procedimiento de bajar, descompriimr y dar click.  Trabaja exactamente de la misma manera que la versión estándar por si quiere explorar las lecciones.  Dispone de un modo para desarrollo en Eclipse.

OWASP 6 Siendo reconocido internacionalmente…  Utilizado como herramienta de análisis de código fuente y testeos de penetración  Utilizado por Universidades en la currícula de seguridad web  Carnegie-Mellon, NYU, University of Denver, etc.  Estudiantes están ayudando a realizar lecciones!!  Utilizado por muchas compañías como herramienta de entrenamiento  Mucha actividad en las lista de correo

OWASP 7 Novedades en la versión 5.X  5.0 – Autumn of Code 2006 Release  Muchas lecciones nuevas  AJAX, JSON, HTTP response splitting, CSRF, cache poisoning, log poisoning, XML & XPATH Injection, forced browsing  5.2 – versión actual  Introduction and WebGoat instructions  Multi Level Login Lesson  Session Fixation Lesson  Insecure Login Lesson  Lesson Solution Videos  Bug Report Feature

OWASP 8 Hoja de Ruta  Crear una base de datos común para todas las lecciones  Convertir las lecciones a un tema común  Sistema HR (WebGoat Financials)  Online Banking o Video Store  Hacer WebGoat mas interactivo  No solo demostrar como atacar la aplicación  Convertir las lecciones a JSP para que sea mas fácil la edición.

OWASP Webscarab  Webscarab es un marco de trabajo para analizar aplicaciónes web que se comunican usando los protocolos HTTP y HTTPS.  Funciona como un proxy de intercepción, que permite al operador revisar y modificar las peticiones creadas entre el navegador y el servidor.  WebScarab es extendible. Cada característica es implementada como un plugin y puede ser removido o remplazado.  Proyecto liderado por Rogan Dawes. 9

OWASP Plugins de Webscarab  Fragmentos – permite extraer los scripts y comentarios de las páginas HTML.  Proxy - Observa el trafico entre el navegador y el servidor Web.  Intercepción Manual - permite al usuario modificar peticiones y respuestas HTTP y HTTPS "al vuelo”  Beanshell - permite la ejecucion de operaciones arbitrarias complejas (Java)  Revelar campos ocultos - cambia todos los campos ocultos encontrados en las páginas HTML a campos de texto, haciéndolos visibles y editables. 10

OWASP Plugins - continuación  Simulador de ancho de banda - permite al usuario emular una red mas lenta.  Araña (Spider) - identifica nuevas URLs en el sitio objetivo y obtiene el contenido cuando se le indica.  Peticiones manuales - permite editar y reenviar peticiones anteriores o la creación de peticiones nuevas completas.  Análisis de identificadores de sesión - recolecta y analiza un número de cookies (y eventualmente parametros en el URL tambien) para determinar visualmente el grado de aleatoriedad y predecibilidad. 11

OWASP Plugins - continuación  Ofuscador de parámetros - realiza la sustitución automatizada de valores en los parametros. Util para demostrar una validación incompleta de parámetros que lleve a vulnerabilidades como Secuencia de comandos en sitios cruzados(XSS) o inyección de SQL.  SOAP - hay un plugin que interpreta WSDL, y presenta las varias funciones y los parámetros requeridas, permitiendo que sean editadas antes de que sean enviadas a el servidor.  Extensiones - automatiza las revisiones de archivos que fueron dejados por error en el directorio raiz del servidor (e.g..bak, ~, etc)  XSS/CRLF - este plugin de análisis pasivo busca datos controlados por el usuario en los encabezados y cuerpo de las respuestas HTTP para identificar posibles inyecciones CRLF (partición de respuesta HTTP) y vulnerabilidades de secuencia de comandos en sitios cruzados (XSS). 12

OWASP Webscarab – Tres versiones  Lite: funcionalidad muy sencilla solo para interceptar/modificar pedidos HTTP/HTTPS.  Full: todas las opciones y plugins están habilitados (modo experto)  NG (next generation): nueva versión en desarrollo mas intuitiva para el usuario. 13

OWASP WebGoat y Webscarab 14 Web Browser WebScarab Port:8008 WebGoat Port: 80

OWASP Demos – Veamos algunas lecciones!! 15

OWASP Ejemplo 1 16

OWASP Ejemplo 2 17

OWASP Ejemplo 3 18

OWASP Preguntas y respuestas

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.