introduccion a la owasp guatemala
DESCRIPTION
Presentacion de la introduccion de la owaspTRANSCRIPT
The OWASP Foundationhttp://www.owasp.org
Introducción a la OWASP
Ing. Camilo FernándezConsultor en Seguridad Informática
Agosto, 2011
Camilo Fernandez?• 8+ años de experiencia en seguridad informática.
• Presidente de OWASP Guatemala.
• seguridad! seguridad! Seguridad!
Certificaciones en Seguridad Informática
CISMCertified Information Security Manager
CISSP Certified Information Systems Security Professional
CISACertified Information Security Auditor
CEHCertified Ethical Hacker
CHFIComputer Hacking Forensic Investigator
MSCE 2003 : SecurityMicrosoft Certified Engineer specialized in Security
CEPTCertified Expert Penetration Tester
ISO 27001 Lead AuditorSecurity+
Que Dem#!..s.. Es la OWASP?
• Nació en el 2001, por un grupo de personas que se preguntaron:
Porque nos confiamos de aplicaciones Web, que tipo de estándar de seguridad nos brinda confianza ?
• Comunidad LIBRE y OPEN SOURCE de todos los proyectos que se desarrollan.
• Organización NO LUCRATIVA
OPEN WEB APPLICATION SECURITY PROJECT
WASP = google { define:wasp } = ABEJA
Que Dem#!..s.. Es la OWASP?
• Abierta a cualquiera que quiera APRENDER, AYUDAR, DESARROLLAR o MEJORARla seguridad en aplicaciones Web.
• Misión:
“Apoyar a organizaciones a crear, desarrollar, adquirir, operar o manteneraplicaciones que puedan ser confiables.”
• Que nos Brinda:
• Publicaciones, artículos, normas de buenas practicas.
• Herramientas para auditorias de seguridad, educación y librerías de programación.
• Capítulos locales & Listas de correo.
• Conferencias internacionales.
• BECAS DE INVESTIGACION
OPEN WEB APPLICATION SECURITY PROJECT
> $100,000 USD
Porque tanto bla.bla… de la OWASP?• Porque se volvió FAMOSA a nivel INTERNACIONAL.
• Porque:
NO apoya ninguna marca, tecnología o producto, apoya el CONOCIMIENTO.
Finalmente, por que la NSA (National Security Agency) adopto yapoyo el proyecto del TOP TEN y lo mantiene como un estándar anivel internacional de las 10 amenazas mas criticas en aplicacionesWeb.
Algunas publicaciones de la OWASP• Publicaciones: => documentos ( PDF, Word )
• TOP TEN – 10 Vulnerabilidades criticas en aplicaciones Web.
Gerentes de Desarrollo/IT.
• TESTING GUIDE – Guía de Auditoria Web.
Pentesters.
• Guía de Buenas practicas de desarrollo.
Desarrolladores.
Algunos proyectos de la OWASP• Proyectos: => Herramientas OPEN SOURCE
• Threat Modeling Tool.
Gerentes de Desarrollo.
• WebScarab – Web Proxy.
• DirBuster.
• Zed Attack Proxy. Pentesters.
• JBroFuzz.
• WebGoat
Librerías de Seguridad (ESAPI).
• PHP, .NET, JAVA, Ruby, Python, Desarrolladores.
• Objective C,C, C++, Javascript, etc.
• Inicio de la comunidad de OWASP.
• Objetivo #1:
“Integrar a todos los que quieran participar.”
• Oportunidad de presentar ideas y proyectos.
• Reuniones Periódicas.
• Ambientes Neutrales de Vendedores.
• Café Gratis, si encontramos patrocinadores.
• Objetivo #2:
“Promover el desarrollo seguro en universidades.”
Bueno y ahora que va ver…en Guate!
PreguntasPagina oficial del Capitulo en Guatemala:
http://www.owasp.org/index.php/Guatemala
Lista de Correo:
https://lists.owasp.org/mailman/listinfo/owasp-guatemala
Visiten www.owasp.org
Gracias por su atención!
• Introducción a la OWASP.
1. 10 Vulnerabilidades criticas en aplicaciones Web.
2. Un método de cómo hacer BLIND SQL INJECTION.
3. Como mitigarnos de esto en dos tecnologías diferentes:
• PHP
• .NET
4. Que ofrece JAVA a nivel de seguridad.
5. Veremos el modelo de seguridad que ofrece ANDROID.
6. Cambio a charla de ataques de DoS !
Hablemos de Hoy