Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Slides:



Advertisements
Presentaciones similares
INTRODUCCIÓN A LA INFORMÁTICA EDUCATIVA Software de Aplicaciones
Advertisements

Moodle.
para Exchange Archivo del correo interno y externo
Internet y tecnologías web
Servicios Web XML 03 de Junio de 2004 Fernando Alonso Blázquez.
INGENIERÍA DE SOFTWARE Introducción Arquitectura de Software
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Moodle. Nivel Iniciación.
Dra. Grisel Zacca González, MSc U NIVERSIDAD V IRTUAL DE S ALUD.
140+ Checklists, tools & guidance 140+ Checklists, tools & guidance 150 Local chapters 150 Local chapters 20,000 builders, breakers and defenders 20,000.
CAPACITACION PARA EL TRABAJO: INFORMATICA
Seguridad en el Ciclo de Vida de Desarrollo
Desarrollo Seguro usando OWASP
FLAN “F- LINKS AND NODES”
“SISTEMA DE PASANTÍAS PARA LA FACULTAD DE INGENIERÍA
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
DESARROLLO E IMPLEMENTACIÓN DE UN PLUGIN DE GOOGLE WALLET PARA PAGOS ONLINE UTILIZANDO SOFTWARE OPEN SOURCE.
Aplicación de diseño de clases y generación de código, orientado hacia la arquitectura multicapas y el mapeo objeto/relacional Juan Timoteo Ponce Ortiz.
Gestión de Usuarios y Seguridad Cámara de Comercio de La Libertad.
Visual Studio 2005 Gestión del Ciclo de Vida Jose Murillo Responsable programas técnicos para Fabricantes.
Desarrollo de un laboratorio para la enseñanza, diseño y desarrollo de servicios móviles abiertos Autor: D. Mario de Molina Gómez Tutor: D. Francisco Javier.
Presentación del estado del arte
Análisis de Redes Sociales: Currículo CORE Lab
Miembro de OWASP capítulo Aguascalientes
Miembro de OWASP capítulo Aguacalientes
Herramientas QA Morax.
A nálisis de Riesgos. ¿Para qué empleamos el análisis de Riesgos?
HERRAMIENTAS CASE.
FIREWALL.
Ciclos de vida ágiles.  Es una metodología ágil que plantea: ◦ Iteraciones cortas ◦ Entregables periódicos ◦ Colaboración con el cliente full time ◦
CS-434: Programación Orientada a Objetos usando Java Semana 1
Código SQF 1000 y 2000 Lynette E. Orellana, PhD Catedrática Asociada Programa de Ciencia y Tecnología de Alimentos Departamento de Cultivos y Ciencias.
Desarrollo de Aplicaciones Utilizando Java Edición Empresarial – JEE6
 Tema del proyecto  Integrantes y roles del equipo  Objetivos del proyecto  Alcance.
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
Introducción a la Programación. Lenguaje de Máquina.
Instalación y configuración de servidores. 2 de 9 Servicios Internet (I) “El proyecto Apache es un esfuerzo conjunto para el desarrollo de software orientado.
OWASP - A6 Open Web Application Security Project Riesgo por: Configuración Defectuosa de Seguridad Guillermo David Vélez Álvarez C.C. 71' 763,346.
J2EE Java Enterprise edition eilin chang Matthew pabon Gabriel vega.
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
4/26/2015Gestión de Proyectos de Software1 RISK MANAGEMENT Carlos Mario Zapata J.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Normas Internacionales
SALIR REINTENTAR De acuerdo a lo presentado en clase hay una cantidad de preguntas que debes resolver a continuación.
Elementos de Intel ® Educar - Introducción. 2 Programa Intel ® Educar Derechos de autor © 2010, Corporaci ó n Intel. Todos los derechos reservados. Todos.
DOKEOS ANGELA PATRICIA MORENO CAÑON COD INTRODUCCION A LA INGENIERIA.
Chat para Ciclope Astro Facultad de Informática Universidad Politécnica de Madrid SISTEMAS INFORMÁTICOS 2 de Julio de 2008 Hélène Doumenc
Aplicaciones Web de Servidor
Control de desconexión de videostreaming móvil en arquitectura android mediante técnicas de realidad aumentada y motores de reglas con herramientas open.
Reunión del comite de nodos de GBIF Copenhague, Dinamarca 4 de octubre de 2009 Herramienta Integrada de Publicación de GBIF Alberto GONZÁLEZ-TALAVÁN Oficial.
I.E. “Presentación de María” Elaboración de Mapas Mentales FREEMIND.
Proveedores de servicios externos
Integrantes: Kleber García Lisseth Celi Ma. Belén Carrión.
Roles de Open UP.
Debian nos ofrece dos modos de instalación, uno gráfico para usuarios menos experimentados y otro en modo de texto. A su vez, si seleccionamos Opciones.
UN GRAN SISTEMA DISTRIBUIDO.  Heterogeneidad: Esta plataforma está diseñada para correr diferentes sistemas operativos (Windows XP, Windows.
Guadalupe Andrade Mociño.  Significa Modelo Vista Controlador  Es un patrón de diseño  Esta compuesto por tres grandes capas: modelo, vista y controlador.
Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Desarrollo DE apps móviles
Introduccion Ambiente declarativo para construir aplicaciones web. Montado sobre SW abierto. Orientado a grupos pequeños de desarrolladores. Proyectos.
ALBA LUCIA SANZ LEMOS ALEXANDRA POMBO CAMPOS
Chat para Ciclope Astro Facultad de Informática Universidad Politécnica de Madrid SISTEMAS INFORMÁTICOS 30 de Junio de 2008 Hélène Doumenc
Reunión del comite de nodos de GBIF Copenhague, Dinamarca 4 de octubre de 2009 La interfaz de usuario del IPT y las herramientas para la calidad de datos.
Entregables del Proyecto
ALUMNO ALUMNO: DIEGO URES LEGAJO LEGAJO: La prueba unitaria es la herramienta para la Calidad Presentación Trabajo Final de Grado.
Flujos de Trabajo Fundamentales Proceso Unificado de Desarrollo de Software.
Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.
CICLOPE WEATHER Monitorización de datos meteorológicos y gestión de alertas para un observatorio astronómico ● 22 de julio de 2009 UNIVERSIDAD POLITÉCNICA.
Ciclope Astro - Foro Facultad de Informática Universidad Politécnica de Madrid SISTEMAS INFORMÁTICOS 13 de Marzo de 2008 Álvaro PANTOJA CASERO
Transcripción de la presentación:

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP OWASP ESAPI Swingset Fabio Cerullo OWASP Irlanda Comité Global de Educación 19 July 2011

OWASP Agenda Introducción a OWASP ESAPI Areas de Seguridad Cubiertas por ESAPI Mapeo de ESAPI > ASVS > Swingset SwingSet Demo AppSec Latam 2011 Preguntas y Respuestas

OWASP Introducción a ESAPI Cual es el principal problema con la mayor parte de los frameworks/controles de seguridad?

OWASP Introducción a ESAPI NO Intuitivo, Integrado o Amigable (para el desarrollador).

OWASP Introducción a ESAPI RIESGO es un camino desde el Agente de Amenaza al Impacto de Negocio

OWASP Introducción a ESAPI Todas las vulnerabilidades se originan por: ESAPI puede ayudar en estos escenarios Control Faltante Falta de Validación de Entradas Falla al realizar Control de Accesos Control Roto Manejo Inapropiado de Sesiones Fallo Abierto Control Ignorado Encriptación no implementada Codificación de Salida olvidada

OWASP Introducción a ESAPI OWASP ESAPI (Enterprise Security API) apunta a proveer a los desarrolladores con todos los controles de seguridad necesarios: Estandarizados Centralizados Organizados Integrados Alta Calidad Intuitivos Testeados

OWASP Que es ESAPI? Los Toolkits de OWASP Enterprise Security API ayudan a los desarrolladores de software a protegerse de problemas de seguridad relacionados con el diseño o implementación de una aplicación. Colección de clases que encapsulan los controles de seguridad mas importantes para una aplicación. Existen versiones de Java EE,.Net, Javascript, Classic ASP ColdFusion/CFML, PHP y Python. La version de ESAPI para JAVA EE incluye un Web Application Firewall (WAF) que puede ser utilizado mientras los equipos de desarrollo se focalizan en remediar los problemas. Todas las versiones de ESAPI se encuentran bajo una licencia BSD de software libre. Usted puede modificar o utilizar ESAPI como le parezca. Incluso puede incluirlo en productos comerciales de manera totalmente gratuita.

OWASP Donde se ubica ESAPI? Plan & Design Plan & Design Build Test Implement security testing security testing WAF/XML firewalls WAF/XML firewalls architectual risk analysis architectual risk analysis Security code review Security code review policy awareness training Controls ASVS T10 Education Building Guide Building Guide WebGoat OWASP Swingset Testing Guide Testing Guide Code review Guide Code review Guide ASVS OWASP ESAPI WAF ESAPI WAF W3AF Code Crawler SDLC

OWASP Como funciona ESAPI? Simplemente extraiga el paquete de distribución ESAPI a una ubicación apropiada. Las interfaces de controles de seguridad ESAPI incluyen una clase “ESAPI” que sirve de “localizadora” del resto. La clase “localizadora” ESAPI es llamada para recuperar las instancias de controles de seguridad individuales.

OWASP Areas de Seguridad Cubiertas por ESAPI Existen120+ métodos organizados en diferentes interfaces.

OWASP Mapeo de ESAPI a ASVS ASVS puede ser utilizado para establecer un nivel de confianza en la seguridad de aplicaciones Web. Autenticación Gestión de Sesiones Control de Acceso Validación de Entradas Codificación de Salidas Criptografía Manejo de Errores Protección de Datos Seguridad HTTP

OWASP Mapeo de ESAPI a ASVS - Un ejemplo - ASVS Gestión de Sesiones Implementación ESAPI ESAPI.httpUtilities().changeSessionIde ntifier() cambia el identificador de sesión durante el inicio de sesión. BTW: previene fijación de sesión.

OWASP Mapeo de ESAPI a ASVS

OWASP Swingset Originalmente había sido diseñada como una aplicación Web que demuestra los distintos usos de ESAPI. Problema... No había interacción con desarrolladores.

OWASP Swingset Interactivo Version customizada de Swingset Alineada con la mision de OWASP GEC Apunta a entrenar desarrolladores en ESAPI ➡ Cada lab presenta una vulnerabilidad ➡ Desarrollador necesita remediarla utilizando ESAPI Labs organizados alrededor de ASVS

OWASP Swingset Interactivo Requisitos de Instalación: JDK o JRE Eclipse ESAPI para Java Swingset

OWASP Swingset Interactivo Demo

OWASP Swingset Interactivo Demo ESAPI provee un conjunto de controles de seguridad “positivos” ESAPI puede ser utilizado para mejorar la seguridad de sus aplicaciones alineandolas con ASVS Swingset es una gran herramienta para entrenar desarrolladores.

OWASP Swingset Interactivo Planes Futuros Automatizar instalación Mejor GUI (menúes/gráficos) Mas lecciones (ej. principiantes/avanzados) Lab Virtuales Interesado? Envíame un correo! SWINGSET

OWASP Recursos Adicionales ESAPI Swingset Interactive et et ESAPI Javadocs java.googlecode.com/svn/trunk_doc/latest/index. html java.googlecode.com/svn/trunk_doc/latest/index. html Libro de ESAPI

OWASP AppSec Latam Dias de Entrenamiento 4 y 5 Octubre Dias de Conferencia 6 y 7 Octubre 2011 SORPRESA Sorteo de una entrada esta noche!

OWASP Preguntas y Respuestas Queres contribuir o proveer feedback? Gracias!

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.