OWASP Mantra

Copyright 2007 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

OWASP Awareness Day

Maximiliano SolerOWASP Member

@maxisoler

Education Project

2OWASP

OWASP Mantra – Security Framework

Sobre mi

Maximiliano Soler trabaja como Analista de Seguridad, en un Banco Internacional. Ha descubierto vulnerabilidades en diferentes Aplicaciones Web y Sistemas Operativos.

Colabora en diferentes proyectos de código abierto y organismos internacionales. Es fanático de los estándares abiertos que son utilizados para realizar pruebas de intrusión, asegurar software y catalogar los diferentes tipos de ataques.

3OWASP


Objetivo de la Charla

Dar a conocer el proyecto en forma general, para que cualquiera pueda utilizar esta herramienta en los diferentes escenarios propuestos.

Namaskar(saludo espiritual)

4OWASP


Qué es Mantra?

Mantra es una colección de herramientas gratuitas y libres integradas en un Navegador Web.

El cual puede ser de gran utilidad para estudiantes, penetration testers, desarrolladores de aplicaciones Web, profesionales de la seguridad, etc.

5OWASP


Qué significa Mantra?

Mantra (तन्त्र en devanagari) es una palabra de origen sánscrito, que está formada por los términos manaḥ y trāyate, que se traducen como mente y liberación.

Desde ese punto se dice que un mantra es:“un instrumento para liberar la mente del

flujo constante de pensamientos que la confunden.”

6OWASP


Características

Libre y Abierto (Open Source Spirit).

Flexible.

Portable.

User-friendly.

Interfaz Gráfica.

Puede ser utilizado desde tarjetas de memoria, CD/DVDs,

etc.

Instalable en el sistema operativo en unos pocos minutos.

7OWASP


Qué NO es Mantra?

No es una herramienta de “Pwnage”.

No soluciona una única necesidad en particular.

No reemplaza el típico navegador Web.

No está completamente integrado a otras

soluciones.

8OWASP


Por qué?

Muchas extensiones disponibles oficiales y no

oficiales.

Analizar todas y cada una de las extensiones es

una tarea tediosa.

Muchas extensiones pasan desapercibidas.

Dar a conocer el Poder de la Plataforma del

Navegador.

9OWASP


Cuándo utilizarlo?

Auditando Aplicaciones Web.

Realizando Pruebas de Intrusión.

Evaluación de Vulnerabilidades.

Capacitaciones.

10OWASP


Etapas de Ataque

Mantra cubre las 5 etapas de Ataque, las cuales son:

Reconocimiento. Escaneo y Enumeración. Obtener el Acceso. Escalación de Privilegios. Mantener el Acceso y Cubrir las Huellas.

11OWASP


Actualidad: OWASP + Mantra + FireCAT

Versión: Beta 0.61 Nombre: Gandiva. Tamaño: ~35 MB (“instalador”) Portable: ~150 MB. Basado en Firefox.

12OWASP


Curiosidad: Gandiva

Es el arco de Áryuna (en inglés Arjuna), el héroe de la epopeya mitológica Mahábharata.

En la historia el Arco fue creado por Brahman, un Espíritu Supremo del hinduismo.

13OWASP


Características Principales

AyudhaMantra contiene todo su set herramientas basado

en la estructura y lineamiento de FireCAT, el cual hace más fácil el orden.

HackeryMantra tiene una gran colección de favoritos

(bookmarks), que facilitan la búsqueda de información, el acceso a diferentes medios de comunicación y herramientas online.

14OWASP


¿Qué es FireCAT?

Mantra contiene todo su set herramientas basado en la estructura y lineamiento de FireCAT, el cual hace más fácil el orden.

La idea de FireCAT, surgió durante una prueba de intrusión. Cuando fui desafiado a realizarlo, sin utilizar herramientas. De esta manera, Firefox con extensiones fue de gran ayuda. =)

15OWASP


Details» Current Version: 1.6.2» Addons: > 80» Categories: 7» Subcategories: 18

FireCAT v1.6.2

16OWASP

OWASP Mantra – Security FrameworkSecurity Framework

Your Security Distro

Your Browser

17OWASP


18OWASP


19OWASP


20OWASP


Categorías

Information Gathering Whois Location Info Enumeration & Fingerprint Data Mining

Editors

Network Utilities Protocols & Applications Sniffers Passwords

21OWASP


Categorías

Miscellaneous Tweaks & Hacks Malware Scanner Automation Others

Application Auditing

Proxy

22OWASP


D E M O

23OWASP


Resultado Final

p e r s o n a l i z a b l e

Flexible Portable User-Friendly

24OWASP


Cómo contribuir?

Ser parte de la Comunidad (OWASP)

Crear o Modificar Extensiones / Framework.

Diseñando: Temas / Otros.

25OWASP


Conclusiones

Mantra es flexible, puede ser adaptado a diferentes

escenarios.

Podemos tener nuestro navegador personalizado,

afilado como una navaja suiza.

Mantra no reemplaza otras herramientas o utilidades.

Mantra debe utilizarse como un complemento para

llevar a cabo pruebas de intrusión sobre aplicaciones

Web.

26OWASP


Conclusiones

Desde el punto de vista del desarrollador, es una interesante plataforma desde la cual se pueden crear extensiones muy fácilmente. (Gracias Mozilla!)

Mantra puede ser utilizado por estudiantes y/o profesionales de la seguridad.

Creemos que cada desarrollador de extensiones es parte de nuestra comunidad de desarrollo.

27OWASP


28OWASP


Algunas posibles preguntas

¿Cuál es el Futuro? Fortalecer la plataforma y orientarlo 100% a un

Security Framework.

¿Otros navegadores? Si, posiblemente Chrome. (Muy Pronto!)

¿Problemas con los Addons? A veces, queremos desarrollar los propios para

poder adaptarlos de forma más sencilla a Mantra.

29OWASP


Links

OWASP Mantrawww.owasp.org/index.php/OWASP_Mantra_-_Security_Framework

Mantrawww.getmantra.com

FireCATwww.firecat.fr

30OWASP


Mantra en la Red

Foroswww.getmantra.com/forums

Twitterwww.twitter.com/getmantra

Facebookwww.facebook.com/getmantra

31OWASP


dhanyawad !(gracias !)

Maximiliano Solere-Mail:Twitter: @maxisoler

OWASP Mantra

Documents