The OWASP Foundationhttp://www.owasp.org

Introducción a la OWASP

Ing. Camilo FernándezConsultor en Seguridad Informática

Agosto, 2011

camilo.fernandez@owasp.org

Camilo Fernandez?• 8+ años de experiencia en seguridad informática.

• Presidente de OWASP Guatemala.

• seguridad! seguridad! Seguridad!

Certificaciones en Seguridad Informática

CISMCertified Information Security Manager

CISSP Certified Information Systems Security Professional

CISACertified Information Security Auditor

CEHCertified Ethical Hacker

CHFIComputer Hacking Forensic Investigator

MSCE 2003 : SecurityMicrosoft Certified Engineer specialized in Security

CEPTCertified Expert Penetration Tester

ISO 27001 Lead AuditorSecurity+

Que Dem#!..s.. Es la OWASP?

• Nació en el 2001, por un grupo de personas que se preguntaron:

Porque nos confiamos de aplicaciones Web, que tipo de estándar de seguridad nos brinda confianza ?

• Comunidad LIBRE y OPEN SOURCE de todos los proyectos que se desarrollan.

• Organización NO LUCRATIVA

OPEN WEB APPLICATION SECURITY PROJECT

WASP = google { define:wasp } = ABEJA

Que Dem#!..s.. Es la OWASP?

• Abierta a cualquiera que quiera APRENDER, AYUDAR, DESARROLLAR o MEJORARla seguridad en aplicaciones Web.

• Misión:

“Apoyar a organizaciones a crear, desarrollar, adquirir, operar o manteneraplicaciones que puedan ser confiables.”

• Que nos Brinda:

• Publicaciones, artículos, normas de buenas practicas.

• Herramientas para auditorias de seguridad, educación y librerías de programación.

• Capítulos locales & Listas de correo.

• Conferencias internacionales.

• BECAS DE INVESTIGACION

OPEN WEB APPLICATION SECURITY PROJECT

> $100,000 USD

Porque tanto bla.bla… de la OWASP?• Porque se volvió FAMOSA a nivel INTERNACIONAL.

• Porque:

NO apoya ninguna marca, tecnología o producto, apoya el CONOCIMIENTO.

Finalmente, por que la NSA (National Security Agency) adopto yapoyo el proyecto del TOP TEN y lo mantiene como un estándar anivel internacional de las 10 amenazas mas criticas en aplicacionesWeb.

Algunas publicaciones de la OWASP• Publicaciones: => documentos ( PDF, Word )

• TOP TEN – 10 Vulnerabilidades criticas en aplicaciones Web.

Gerentes de Desarrollo/IT.

• TESTING GUIDE – Guía de Auditoria Web.

Pentesters.

• Guía de Buenas practicas de desarrollo.

Desarrolladores.

Algunos proyectos de la OWASP• Proyectos: => Herramientas OPEN SOURCE

• Threat Modeling Tool.

Gerentes de Desarrollo.

• WebScarab – Web Proxy.

• DirBuster.

• Zed Attack Proxy. Pentesters.

• JBroFuzz.

• WebGoat

Librerías de Seguridad (ESAPI).

• PHP, .NET, JAVA, Ruby, Python, Desarrolladores.

• Objective C,C, C++, Javascript, etc.

• Inicio de la comunidad de OWASP.

• Objetivo #1:

“Integrar a todos los que quieran participar.”

• Oportunidad de presentar ideas y proyectos.

• Reuniones Periódicas.

• Ambientes Neutrales de Vendedores.

• Café Gratis, si encontramos patrocinadores.

• Objetivo #2:

“Promover el desarrollo seguro en universidades.”

Bueno y ahora que va ver…en Guate!

PreguntasPagina oficial del Capitulo en Guatemala:

http://www.owasp.org/index.php/Guatemala

Lista de Correo:

https://lists.owasp.org/mailman/listinfo/owasp-guatemala

Visiten www.owasp.org

Gracias por su atención!

• Introducción a la OWASP.

1. 10 Vulnerabilidades criticas en aplicaciones Web.

2. Un método de cómo hacer BLIND SQL INJECTION.

3. Como mitigarnos de esto en dos tecnologías diferentes:

• PHP

• .NET

4. Que ofrece JAVA a nivel de seguridad.

5. Veremos el modelo de seguridad que ofrece ANDROID.

6. Cambio a charla de ataques de DoS !

Hablemos de Hoy