owasp day costa rica · vivimos en un mundo digital, un mundo conectado! la mayoría de los sitios...
TRANSCRIPT
![Page 1: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/1.jpg)
OWASP Day Costa Rica En contra de la delincuencia
Cibernética
Michael Hidalgo [email protected]
Chapter Leader OWASP Costa Rica Colaborador OWASP O2 Platform Project
![Page 2: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/2.jpg)
Acerca de Mi
Software Developer Engineer en Fiserv, Digital Channels- Corillian Online ASP team. –Desarrollador de Software para Instituciones Financieras. –Web Services, Análisis estático de Código (a.k.a SAST)
Líder del Capítulo OWASP Costa Rica
Participación OData Protocol (REST)
Contribuyente en Proyectos OWASP –OWASP O2 Platform (Dinis Cruz)
–REST Security Cheat Sheet (Jim Manico)
2
![Page 3: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/3.jpg)
Vivimos en un mundo digital, un mundo conectado!
La mayoría de los sitios Web son vulnerables a ataques.
75% de los ataques ocurren en la capa de aplicación(Source: Gartner).
Importante % de negocios basados en la Web(Servicios, Tiendas virtuales, cuidado personal).
¿Porqué ésta presentación?
3
![Page 4: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/4.jpg)
Hay una necesidad de desarrollar aplicaciones de Software que sean seguras!
Pero también porque…
4
![Page 5: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/5.jpg)
• ¿Qué es OWASP?, ¿Dónde estamos?, ¿Para dónde vamos?
• La necesidad de Desarrollar aplicaciones seguras
• Estadísticas de ataques informáticos globales
o Evaluación de ~7000 sitios Web.
Agenda
5
![Page 6: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/6.jpg)
La verdadera Historia
The Open Web Application Security Project
OWASP:
Enjambres de abejas:
Capítulos locales en todo el mundo!
6
![Page 7: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/7.jpg)
Celebrando 11 años...
7
http://web.archive.org Dec 2011
![Page 8: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/8.jpg)
Nuesta Misión
Sin fines de lucro| Global| Imparcial
OWASP no avala ni recomienda productos o servicios comerciales
¿Qué es OWASP?
8
![Page 9: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/9.jpg)
Impulsado por la Comunidad
~30,000 participantes en listas de correos ~200 Capítulos activos en 70 países
1600+ Miembros, 56 Patrocinadores
69 Patrocinadores académicos
¿Qué es OWASP?
9
![Page 10: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/10.jpg)
200 Capítulos, 1 600+ Miembros
En todo el mundo!
10
![Page 11: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/11.jpg)
Recursos de Calidad
200+ Proyectos
15,000+ descargas herramientas, documentación
250,000+ visitantes únicos
800,000+ páginas vistas (mensual)
¿Qué es OWASP?
11
![Page 12: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/12.jpg)
50%
10% 40%
Recursos de Calidad
12
![Page 13: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/13.jpg)
~140 Proyectos
• PROTEGER - Se trata de herramientas y documentos que pueden ser utilizados para proteger de vulnerabilidades asociadas al diseño.
• DETECTECTAR - Se trata de herramientas y documentos que pueden ser utilizados para encontrar vulnerabilidades asociadas al diseño.
• Ciclo de Vida- Se trata de herramientas y documentos que pueden ser utilizadas en el Ciclo de vida de las aplicaciones de software(SDLC).
![Page 14: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/14.jpg)
Productos destacados
Zed Attack Proxy (ZAP): • Proxy •Scanner automatizado •Scanner pasivo •Scanner de fuerza bruta. •Scanner de puertos •Certificados SSL dinámicos. •API
•5 desarrolladores, 15 contribuyentes •Internacional •Translated into 9 languages: Brazilian Portuguese, Chinese, French, German, Greek, Indonesian, Japanese, Polish, Spanish
![Page 15: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/15.jpg)
Productos destacados
OWASP Seguridad Móvil: •Security testing •Development guidance •Top 10 controls •Mobile threat model •GoatDroid •Top 10 risks
![Page 16: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/16.jpg)
Líder del Proyecto: Chris Schmidt, [email protected]
Propósito: Librería de controles para la seguridad de aplicaciones Web, libre y de código abierto que ayuda a los programadores a escribir aplicaciones de bajo riesgo
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
Enterprise Security API
16
![Page 17: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/17.jpg)
Developer Cheat Sheets OWASP Top Ten Cheat Sheet
Authentication Cheat Sheet
Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
Cryptographic Storage Cheat Sheet
Input Validation Cheat Sheet
XSS (Cross Site Scripting) Prevention Cheat Sheet
DOM based XSS Prevention Cheat Sheet
Forgot Password Cheat Sheet
Query Parameterization Cheat Sheet
SQL Injection Prevention Cheat Sheet
Session Management Cheat Sheet
HTML5 Security Cheat Sheet
Transport Layer Protection Cheat Sheet
Web Service Security Cheat Sheet
Logging Cheat Sheet
JAAS Cheat Sheet
Mobile Cheat Sheets IOS Developer Cheat Sheet
Mobile Jailbreaking Cheat Sheet
Draft Cheat Sheets Access Control Cheat Sheet
REST Security Cheat Sheet
Abridged XSS Prevention Cheat Sheet
PHP Security Cheat Sheet
Password Storage Cheat Sheet
Secure Coding Cheat Sheet
Threat Modeling Cheat Sheet
Clickjacking Cheat Sheet
Virtual Patching Cheat Sheet
Secure SDLC Cheat Sheet
Web Application Security Testing Cheat Sheet
Application Security Architecture Cheat Sheet
Hojas de Trucos
17
![Page 18: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/18.jpg)
TOP 10 WEB APPLICATION SECURITY RISKS TOP 3 WEB APPLICATION SECURITY RISKS
OWASP Appsec Tutorial Series (Videos)
18
![Page 19: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/19.jpg)
NOTICIAS
BLOG
PODCAST
MEMBRESIAS
LISTAS DE CORREOS
NEWSLETTER
APPLE APP STORE
VIDEO TUTORIALES
SESIONES DE ENTRENAMIENTO
REDES SOCIALES 19
Más recursos!
![Page 20: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/20.jpg)
7 Comités Globales
20
![Page 21: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/21.jpg)
• ¿Qué es OWASP?, ¿Dónde estamos?, ¿Para dónde vamos?
• La importancia de escribir aplicaciones Seguras
• Estadísticas de ataques informáticos globales
o Evaluación de ~700 Sitios Web.
Agenda
21
![Page 22: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/22.jpg)
La importancia de desarrollar aplicaciones seguras
• El Software está en todas partes:
• El software puede causar pérdidas humanas y económicas.
22
![Page 23: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/23.jpg)
El Software falla
23
Fuente: http://www.spiegel.de/international/world/experts-say-focus-on-manual-flying-skills-needed-after-air-france-crash-a-843421.html
•Air France 447, 220 tripulantes
•Río Janeiro- París
•El Airbus A330 tiene uno de los más sofisticados sistemas automatizados de pilotaje en la industria aérea
![Page 24: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/24.jpg)
El Software falla
24
• Fallo informático Knight Capital $440 millones
Fuente CNN: http://www.cnnexpansion.com/economia/2012/08/10/los-errores-informaticos-mas-costosos
![Page 25: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/25.jpg)
Ataques informáticos son comunes.
25
• 6,46 millones de contraseñas de LinkedIn filtradas( 06 Junio 2012)
Fuente BBC: http://www.bbc.co.uk/news/technology-18338956
![Page 26: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/26.jpg)
Ataques informáticos comunes
• Mas de 100 Universidades hackeadas por GhostShell (Octubre 02 2012)
• 120,000 registros de estudiantes filtrados.
26 Fuente : http://www.zdnet.com/ghostshell-university-hack-by-the-numbers-7000005194/
![Page 27: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/27.jpg)
Ataques informáticos son comunes
• Ataque informático en el estado de Carolina del Sur (26 Octubre 2012)
• 3.6 millones de SSN expuestos
27 Fuente : http://www.examiner.com/article/3-6-million-sc-social-security-numbers-exposed-to-cyber-attack
![Page 28: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/28.jpg)
• ¿Qué es OWASP?, ¿Dónde estamos?, ¿Para dónde vamos?
• La importancia de escribir aplicaciones Seguras
• Estadísticas de ataques informáticos globales
o Evaluación de ~7,000 Sitios Web.
Agenda
28
![Page 29: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/29.jpg)
Estadísticas WhiteHat Security
• WhiteHat Security Reporte de estadísticas en Sitios Web.
• Evaluación de 7,000 sitios Web. • Reducción significante en vulnerabilidades. • Firewalls están ofreciendo una nueva
oportunidad.
29
Fuente:https://www.whitehatsec.com/assets/WPstats_summer12_12th.pdf
![Page 30: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/30.jpg)
Estadísticas WhiteHat Security
• Promedio de vulnerabilidades críticas fue de 79 en 2011, 230 en 2010 y 1,111 en 2007.
• XSS es la vulnerabilidad prevaleciente (55%). • Firewalls han ayudado a mitigar el riesgo de al
menos 71% de las vulnerabilidades. • El sector bancario con el menor porcentaje de
vulnerabilidades.
30
![Page 31: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/31.jpg)
Estadísticas WhiteHat Security
• Estado en la seguridad de los sitios Web
31 Fuente:https://www.whitehatsec.com/assets/WPstats_summer12_12th.pdf
![Page 32: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/32.jpg)
Estadísticas WhiteHat Security
32 Figure 3. Top Ten Vulnerability Classes (2011) Percentage likelihood that at least one serious* vulnerability will appear in a website.
Fuente: WhiteHat http://img.en25.com/Web/WhiteHatSecurityInc/WPstats_summer12_12th.pdf
Cross-Site Scripting se ha encontrado en 55% de los sitios Web
![Page 33: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/33.jpg)
33
Estadísticas WhiteHat Security
Fuente: WhiteHat Security http://img.en25.com/Web/WhiteHatSecurityInc/WPstats_summer12_12th.pdf
• Industrias Comparadas:
![Page 34: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/34.jpg)
• ScoreCard: Industria Bancaria
34 Figure 6. Banking Industry: Website Security Scorecard.
Fuente: WhiteHat http://img.en25.com/Web/WhiteHatSecurityInc/WPstats_summer12_12th.pdf
![Page 35: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/35.jpg)
35
• ScoreCard: Educación
Figure 7. Education Industry: Website Security Scorecard. Fuente: WhiteHat http://img.en25.com/Web/WhiteHatSecurityInc/WPstats_summer12_12th.pdf
![Page 36: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/36.jpg)
Estadísticas WhiteHat Security
• ScoreCard: Servicios Financieros
36 Figure 8. Financial Industry: Website Security Scorecard.
Fuente: WhiteHat http://img.en25.com/Web/WhiteHatSecurityInc/WPstats_summer12_12th.pdf
![Page 37: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/37.jpg)
Estadísticas WhiteHat Security
• ScoreCard: Sector Salud
37 Figure 9. Health Industry: Website Security Scorecard.
Fuente: WhiteHat http://img.en25.com/Web/WhiteHatSecurityInc/WPstats_summer12_12th.pdf
![Page 38: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/38.jpg)
“Si usted creé que la educación es cara,
Pruebe con la ignorancia!”
Abraham Lincoln
El conocimiento es riqueza, El conocimiento debe fluir
38
![Page 39: OWASP Day Costa Rica · Vivimos en un mundo digital, un mundo conectado! La mayoría de los sitios Web son vulnerables a ataques. 75% de los ataques ocurren en la capa de aplicación(Source:](https://reader034.vdocuments.mx/reader034/viewer/2022052000/6012346c44bf2315db17c7e5/html5/thumbnails/39.jpg)
Trabajo en Equipo
TEAM es sinónimo de… Together Each Achieves More
Todos ustedes son bienvenidos a atender nuestras charlas y reuniones en OWASP.
El Capítulo Local de OWASP Costa Rica les da la Bienvenida!
39