Herramientas Libres para el Análisis de Vulnerabilidades OWASP ZAP
Post on 16-Jan-2017
152 Views
Preview:
Transcript
XIV Congreso Nacional de Software LibreCONASOL 2014
Cochabamba – Bolivia22 de Noviembre del 2014
ANÁLISIS DE SEGURIDAD EN APLICACIONES WEB CON HERRAMIENTAS LIBRES
(OWASP ZAP)
Expositor: Alvaro Machaca TolaCCNA, CEH
Agenda
1. El papel de las aplicaciones web en la actualidad.2. Estándares y buenas prácticas.3. Principales problemas.4. Principales vulnerabilidades.5. Alternativas de solución.6. OWASP ZAP.
6.1. Características.6.2. Implementación.
7. Demostración.8. Evaluación de la herramienta.9. Conclusión.
XIV Congreso Nacional de Software Libre CONASOL 2014
¿En qué nos colaboran las aplicaciones web?
Redes sociales.
Pago de servicios por internet.
Páginas web personales.
Entretenimiento.
Intercambio de conocimiento.
Venta de productos/servicios.
Difusión política.
Educación.
…
1. El papel de las aplicaciones web en la actualidad
XIV Congreso Nacional de Software Libre CONASOL 2014
¿Por qué debo desarrollar aplicaciones seguras?
Minimizar el impacto de un posible
ataque.
Asegurar la información con la que
interactúa la aplicación.
Cumplimiento de estándares
internacionales y normativas nacionales.
Desarrollar hábitos de desarrollo seguro.
Ganar la confianza del usuario y mantener
la imagen de la institución.
…
2. Estándares y buenas prácticas
XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué dificultades se presentan en el desarrollo de aplicaciones?
Falta de información y concientización.
Agendas de desarrollo apretadas.
Falta de conocimiento en el desarrollo de
aplicaciones seguras.
Simplicidad excesiva.
Falta o falla de gestión de cambios en las
aplicaciones.
…
3. Principales problemas
XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué es OWASP?
Es una comunidad abierta a todo púbico y
sin fines de lucro.
Compuesta por investigadores, estudiantes
y toda persona interesada en la seguridad
de aplicaciones web.
Desarrollan guías y buenas prácticas para
el desarrollo seguro de aplicaciones.
Existen herramientas libres desarrolladas
por la comunidad y proyectos relacionados
a la seguridad de las aplicaciones.
…
https://www.owasp.org
4. Principales vulnerabilidades
XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué soluciones existen?
Concientizar y capacitar en temas de
desarrollo seguro.
Utilizar recursos actualizados y módulos de
seguridad.
Revisar manualmente el código y detectar
debilidades de seguridad (usuarios
avanzados).
Revisar la aplicación de forma automática
(escáner de vulnerabilidades para
aplicaciones web libres y comerciales).
5. Alternativas de solución
XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué es OWASP ZAP?
Es una herramienta libre de código abierto,
creada por Simon Bennetts (es un
proyecto de OWASP).
Colabora con la revisión del estado de
seguridad de una aplicación.
Basada en las vulnerabilidades más
comunes en aplicaciones web (Top 10 de
OWASP).
Muy útil para profesionales en seguridad y
desarrolladores.
…
https://code.google.com/p/zaproxy/
6. OWASP ZAP
XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué puedo hacer con ZAP?
Proxy.
Escaneo automático.
Escaneo pasivo.
Escaneo por fuerza bruta.
Spider.
Fuzzing
Certificados dinámicos SSL.
BeanShell Console dialog.
Plug-n-Hack.
Smartcard y certificados digitales.
…
https://code.google.com/p/zaproxy/
6.1 Características
XIV Congreso Nacional de Software Libre CONASOL 2014
¿Qué necesito?
Java SE Runtime Environment (versión ˃
7.0
http://www.oracle.com/technetwork/java/javase/downloads/index.
html
Navegador web (Mozilla Firefox versión ˃
23.0)
https://www.mozilla.org
ZAP 2.3.1 (Descargar del sitio oficial)
https://code.google.com/p/zaproxy/wiki/Downloads
6.2 Implementación
XIV Congreso Nacional de Software Libre CONASOL 2014
Recursos
Ambiente ZAP configurado y funcional.
Aplicación para el análisis (Web Goat 5.4).
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Proj
ect
Paciencia, buen humor y mucho café.
7. Demostración
XIV Congreso Nacional de Software Libre CONASOL 2014
http://sectooladdict.blogspot.com/2014/02/wavsep-web-application-scanner.html
¿Qué evaluaron?
Versatilidad del escáner.
Cobertura del crawling automático.
Precisión en la detección de redirecciones
inválidas.
Precisión en la detección de archivos
ocultos.
Precisión en la detección de Inyección SQL.
Precisión en la detección de XSS.
Variedad de vectores de ataque.
Características y funcionalidades.
Facilidad de uso.
…
8. Evaluación de la herramienta
Estudio realizado por el especialista en seguridad de la información y penetration testing Shay Chen patrocinado por DENIM GROUP compañía Estadounidense especializada en seguridad en aplicaciones.
XIV Congreso Nacional de Software Libre CONASOL 2014
ZAP es una herramienta libre.
Apto para usuarios iniciales y expertos.
Es el proyecto de OWASP con mayores aportes en los últimos años.
Fue elegida como la mejor herramienta libre de seguridad para
aplicaciones web el 2013. (http://www.toolswatch.org)
Buena forma de iniciar en el mundo de la seguridad en aplicaciones
web.
9. Conclusiones
XIV Congreso Nacional de Software Libre CONASOL 2014
Contacto
XIV Congreso Nacional de Software Libre CONASOL 2014
https://www.facebook.com/alvaro.machaca
@Alvaro_Machaca
https://bo.linkedin.com/pub/alvaro-machaca/42/85b/7
alvaromania.mt@gmail.com
alvaro.machaca@hotmail.com
top related