La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Publicada porTeodosio Tello Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Transcripción de la presentación:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org OWASP WebGoat & Webscarab Fabio Cerullo OWASP Irlanda Comité Global de Educación 19 July 2011

2 OWASP 2 Introducción a WebGoat  Proyecto OWASP con ~150,000 descargas  Aplicación web J2EE deliberadamente insegura  Diseñada para enseñar lecciones de seguridad en aplicaciones Web

3 OWASP Historia de WebGoat  Donado a OWASP por Aspect Security ~2002  El líder del proyecto es Bruce Mayhew  Comienza a recibir contribuciones ~2005  v5 producida como un proyecto AoC en 2006. 3

4 OWASP 4 WebGoat demuestra vulnerabilidades  Actualmente hay mas de 30 lecciones sobre:  En definitiva, todo el OWASP Top 10 2010!

5 OWASP 5 Dos versiones  Estandar:  La instalación standard es procedimiento de bajar, descomprimir y dar clic.  Viene con el "Java Runtime Environment" y un servidor Tomcat 5.5 ya configurado.  Desarrollador:  La versión de desarrollador tambien es es procedimiento de bajar, descompriimr y dar click.  Trabaja exactamente de la misma manera que la versión estándar por si quiere explorar las lecciones.  Dispone de un modo para desarrollo en Eclipse.

6 OWASP 6 Siendo reconocido internacionalmente…  Utilizado como herramienta de análisis de código fuente y testeos de penetración  Utilizado por Universidades en la currícula de seguridad web  Carnegie-Mellon, NYU, University of Denver, etc.  Estudiantes están ayudando a realizar lecciones!!  Utilizado por muchas compañías como herramienta de entrenamiento  Mucha actividad en las lista de correo

7 OWASP 7 Novedades en la versión 5.X  5.0 – Autumn of Code 2006 Release  Muchas lecciones nuevas  AJAX, JSON, HTTP response splitting, CSRF, cache poisoning, log poisoning, XML & XPATH Injection, forced browsing  5.2 – versión actual  Introduction and WebGoat instructions  Multi Level Login Lesson  Session Fixation Lesson  Insecure Login Lesson  Lesson Solution Videos  Bug Report Feature

8 OWASP 8 Hoja de Ruta  Crear una base de datos común para todas las lecciones  Convertir las lecciones a un tema común  Sistema HR (WebGoat Financials)  Online Banking o Video Store  Hacer WebGoat mas interactivo  No solo demostrar como atacar la aplicación  Convertir las lecciones a JSP para que sea mas fácil la edición.

9 OWASP Webscarab  Webscarab es un marco de trabajo para analizar aplicaciónes web que se comunican usando los protocolos HTTP y HTTPS.  Funciona como un proxy de intercepción, que permite al operador revisar y modificar las peticiones creadas entre el navegador y el servidor.  WebScarab es extendible. Cada característica es implementada como un plugin y puede ser removido o remplazado.  Proyecto liderado por Rogan Dawes. 9

10 OWASP Plugins de Webscarab  Fragmentos – permite extraer los scripts y comentarios de las páginas HTML.  Proxy - Observa el trafico entre el navegador y el servidor Web.  Intercepción Manual - permite al usuario modificar peticiones y respuestas HTTP y HTTPS "al vuelo”  Beanshell - permite la ejecucion de operaciones arbitrarias complejas (Java)  Revelar campos ocultos - cambia todos los campos ocultos encontrados en las páginas HTML a campos de texto, haciéndolos visibles y editables. 10

11 OWASP Plugins - continuación  Simulador de ancho de banda - permite al usuario emular una red mas lenta.  Araña (Spider) - identifica nuevas URLs en el sitio objetivo y obtiene el contenido cuando se le indica.  Peticiones manuales - permite editar y reenviar peticiones anteriores o la creación de peticiones nuevas completas.  Análisis de identificadores de sesión - recolecta y analiza un número de cookies (y eventualmente parametros en el URL tambien) para determinar visualmente el grado de aleatoriedad y predecibilidad. 11

12 OWASP Plugins - continuación  Ofuscador de parámetros - realiza la sustitución automatizada de valores en los parametros. Util para demostrar una validación incompleta de parámetros que lleve a vulnerabilidades como Secuencia de comandos en sitios cruzados(XSS) o inyección de SQL.  SOAP - hay un plugin que interpreta WSDL, y presenta las varias funciones y los parámetros requeridas, permitiendo que sean editadas antes de que sean enviadas a el servidor.  Extensiones - automatiza las revisiones de archivos que fueron dejados por error en el directorio raiz del servidor (e.g..bak, ~, etc)  XSS/CRLF - este plugin de análisis pasivo busca datos controlados por el usuario en los encabezados y cuerpo de las respuestas HTTP para identificar posibles inyecciones CRLF (partición de respuesta HTTP) y vulnerabilidades de secuencia de comandos en sitios cruzados (XSS). 12

13 OWASP Webscarab – Tres versiones  Lite: funcionalidad muy sencilla solo para interceptar/modificar pedidos HTTP/HTTPS.  Full: todas las opciones y plugins están habilitados (modo experto)  NG (next generation): nueva versión en desarrollo mas intuitiva para el usuario. 13

14 OWASP WebGoat y Webscarab 14 Web Browser WebScarab Port:8008 WebGoat Port: 80 http://localhost/WebGoat/attack

15 OWASP Demos – Veamos algunas lecciones!! 15

16 OWASP Ejemplo 1 16

17 OWASP Ejemplo 2 17

18 OWASP Ejemplo 3 18

19 OWASP Preguntas y respuestas

Descargar ppt "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."

Presentaciones similares

Internet y tecnologías web

Internet y tecnologías web
TEMA 20. OFFICE 2003 E INTERNET: INSERTAR HIPERVÍNCULOS Y NAVEGAR ENTRE ELLOS. GUARDAR COMO PÁGINA WEB.

TEMA 20. OFFICE 2003 E INTERNET: INSERTAR HIPERVÍNCULOS Y NAVEGAR ENTRE ELLOS. GUARDAR COMO PÁGINA WEB.
APACHE.

APACHE.
RECURSOS INTERACTIVOS. Cualificaciones_ NIVELES Permite añadir una definición clara, pública y personalizada de los criterios de calificación para aplicarlos.

RECURSOS INTERACTIVOS. Cualificaciones_ NIVELES Permite añadir una definición clara, pública y personalizada de los criterios de calificación para aplicarlos.
CONCEPTOS BASICOS DE INTERNET

CONCEPTOS BASICOS DE INTERNET
Modelando aplicaciones

Modelando aplicaciones
Instalación y configuración de los servicios Web.

Instalación y configuración de los servicios Web.
Construcción de Páginas WEB

Construcción de Páginas WEB
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Módulo: Diseño de Actividades Educativas con Hot Potatoes

Módulo: Diseño de Actividades Educativas con Hot Potatoes
java del lado del servidor Servlet y JSP Java Server Pages.

"java del lado del servidor" Servlet y JSP Java Server Pages.
SISTEMA DE NACIMIENTOS MANUAL DEL USUARIO. El objetivo del presente manual es servir de guía al usuario final para interactuar con el Sistema, permitiéndole.

SISTEMA DE NACIMIENTOS MANUAL DEL USUARIO. El objetivo del presente manual es servir de guía al usuario final para interactuar con el Sistema, permitiéndole.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.

Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.
Características generales de un servicio Web.

Características generales de un servicio Web.
Introducción a ASP.NET.

Introducción a ASP.NET.
Mecanismo de petición y respuesta Prof. Manuel Blázquez Ochando

Mecanismo de petición y respuesta Prof. Manuel Blázquez Ochando
Navegadores WEB.

Navegadores WEB.
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.

ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.

Presentaciones similares

Anuncios Google