Presentación de Owasp UDB

METODOLOGÍAS DE
SOFTWARE SEGURO
OWASP
ALUMNOS: CARNET:
BORIS ARMANDO PORTILLO TREJO PT182466
ORLANDO MIGUEL ASTORGA AA182333
VICTOR OTHSMARO SALAS SAYES SS182458
AGENDA
 Que es OWASP
 Marco de trabajo SAMM
 Herramientas para apoyar el marco de trabajo de SAMM
 Proyectos emblemáticos de OWASP
 Utilizando OWASP para comprobar la seguridad de las web y
aplicaciones
 Características principales de OWASP
Agenda:
• Que es OWASP
• Marco de trabajo SAMM
• Herramientas para apoyar el
QUE ES OWASP
marco de trabajo de SAMM
• Proyectos emblemáticos de
OWASP
• Utilizando OWASP para
comprobar la seguridad de las
web y aplicaciones
• Características principales de
OWASP
 El proyecto OWASP (Open Web Application Security Project) es una
comunidad abierta de colaboración entre profesionales y expertos en la
seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la
Guía de pruebas, un manual de referencia con vulnerabilidades,
contramedidas y una completa metodología para la revisión y evaluación
del estado de seguridad de nuestras aplicaciones.
 Inicia en el año 2001 en Estados Unidos, es una comunidad formada por
voluntarios altruistas que deciden aportar a la comunidad tecnológica,
proyectos de documentación, herramientas, conferencias o cualquier
actividad que de alguna manera ayude a conocer.
 Fue creado por profesionales de empresas (Microsoft y empresas de
seguridad) reconocidas de todo el mundo y que al momento aún
continúan trabajando activamente en el proyecto.
Agenda:
• Que es OWASP
MARCO DE TRABAJO: SAMM

OWASP
web y aplicaciones
OWASP
Agenda:
• Que es OWASP

OWASP
web y aplicaciones
OWASP
 SAMM Business Functions: Se comienza con el núcleo de

actividades presentes en cualquier organización que realiza
desarrollo de software. El nombre asignado es genérico, pero
deberían ser identificables por cualquier desarrollador o gestor
(Gobierno, Construcción, Verificación, Implementación).
 SAMM Security Practices: Por cada una de las funciones de
negocio (Business Functions) se definen 3 Prácticas de Seguridad
(Security Practices). Las Security Practices cubren todas las áreas
relativas para la calidad de la seguridad en el software y cada
una de ellas en un “nicho” de mejora.
Agenda:
• Que es OWASP

OWASP
web y aplicaciones
OWASP
 Por debajo de cada Security Practice

 Tres objetivos secuenciales para cada “Security Practice” definen cómo ir
mejorando a lo largo del tiempo. Esto establece el concepto de “Nivel” en
el que una organización se encuentra al cumplir una determinada
“Práctica”
 Los tres niveles para cada “Práctica” corresponden generalmente a:
 (0: Punto de partida implícito cuando la Práctica es incumplida)
 1: Comprensión inicial y disposición específica para adoptar la “Practica”
 2: Incrementar la eficacia y/o eficiencia de la “Práctica”
 3: Dominio completo de la “Práctica”
Agenda:
• Que es OWASP
HERRAMIENTAS PARA APOYAR EL • Herramientas para apoyar el

MARCO DE TRABAJO DE SAMM

OWASP
web y aplicaciones
OWASP
Herramienta Descripción
OpenSAMM-BSIMM Mapping Esta hoja de trabajo contiene una
OWASP Summit 2011 asignación de nivel de actividad entre
OpenSAMM y BSIMM. Tenga en cuenta
que en algunos casos, más de una
actividad BSIMM se asigna a una sola
actividad SAMM (109 en BSIMM es 72
en SAMM).
Assessment Interview Template Esta hoja de cálculo desglosa el
Nick Coblentz cuestionario de evaluación del marco
SAMM en declaraciones de afirmación
que pueden usarse para impulsar
entrevistas de evaluación.
Roadmap Chart Template Esta hoja de cálculo proporciona una
Colin Watson forma sencilla de capturar los datos
para una hoja de ruta SAMM y generar
automáticamente gráficos similares a
los que aparecen en el marco.
Agenda:
• Que es OWASP


OWASP
web y aplicaciones
OWASP
Herramienta Descripción
Assessment Worksheet Esta es una hoja de cálculo fácil de usar que
Christian Frichot contiene el cuestionario de evaluación del
marco SAMM. Cuenta con una puntuación
automática para hacer que la apariencia sea
muy pulida
Project Plan Template Esta es una plantilla de plan de proyecto (MS
Jim Weiler Project u OpenProj) que captura las
actividades de los niveles de SAMM. Útil para
copiar piezas en los cronogramas de proyectos
de desarrollo existentes.
Vulnerability Manager Entre muchas funciones, Vulnerability
Denim Group Manager permite a las personas rastrear las
prácticas de SAMM utilizadas por diferentes
equipos de desarrollo de aplicaciones,
almacenar estas evaluaciones a lo largo del
tiempo y elaborar hojas de ruta para mejorar.
Agenda:
• Que es OWASP


OWASP
web y aplicaciones
 En la web de OWASP, también se pueden encontrar OWASP
estas herramientas para la versión 1.5 de SAMM, al

ingresar a
https://www.owasp.org/index.php/OWASP_SAMM_Pr
oject podemos descargar al hacer clic en All SAMM
v1.5 files (.zip) en la sección de Quick Download,
como se muestra en la siguiente imagen.
Agenda:
• Que es OWASP
PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

OWASP
OWASP
web y aplicaciones
OWASP
Tool Projects
OWASP Zed Attack Proxy (ZAP) Encuentra automáticamente
vulnerabilidades de seguridad en sus
aplicaciones web mientras desarrolla y
prueba sus aplicaciones
OWASP Web Testing Environment (WTE) Una colección de herramientas y

documentación de seguridad de
aplicaciones fáciles de usar disponibles en
múltiples formatos
OWASP OWTF Herramienta Pentesting para encontrar,

verificar y combinar vulnerabilidades de
manera más eficiente en plazos cortos
Agenda:
• Que es OWASP

OWASP
OWASP
web y aplicaciones
OWASP
Tool Projects
OWASP Dependency Check Una utilidad que identifica las dependencias del
proyecto y comprueba si hay vulnerabilidades
conocidas, divulgadas públicamente
OWASP Security Shephard Una plataforma de capacitación en seguridad

de aplicaciones web y móviles para fomentar y
mejorar la conciencia de seguridad entre un
grupo demográfico variado de habilidades
OWASP DefectDojo Una herramienta de gestión de vulnerabilidades

de código abierto que agiliza el proceso de
prueba al ofrecer plantillas, generación de
informes, métricas y herramientas de
autoservicio de referencia.
Agenda:
• Que es OWASP

OWASP
OWASP
web y aplicaciones
Tool Projects • Características principales de
OWASP
OWASP Juice Shop Una aplicación web intencionalmente insegura
para capacitaciones de seguridad escritas
completamente en JavaScript que abarca todo el
Top 10 de OWASP y otras fallas de seguridad
severas
OWASP Security Knowledge Framework Una herramienta que se utiliza como guía para
crear y verificar software seguro que también se
puede utilizar para capacitar a los desarrolladores
sobre la seguridad de las aplicaciones.
OWASP Dependency Track Una plataforma de análisis de composición de
software (SCA) que realiza un seguimiento de
todos los componentes de terceros utilizados en
todas las aplicaciones que una organización crea
o consume.
Supervisa todas las aplicaciones de su cartera
para identificar de manera proactiva las
vulnerabilidades en los componentes que ponen
en riesgo sus aplicaciones
Agenda:
• Que es OWASP

OWASP
OWASP
web y aplicaciones
OWASP
Code Projects
OWASP ModSecurity Core Rule Set (CRS) Un conjunto de reglas genéricas de
detección de ataques para usar con
ModSecurity o firewalls de aplicaciones
web compatibles que tiene como objetivo
proteger las aplicaciones web de una
amplia gama de ataques
OWASP CSRFGuard Una biblioteca que implementa una

variante del patrón de token sincronizador
para mitigar el riesgo de ataques de
falsificación de solicitudes entre sitios
(CSRF)
Agenda:
• Que es OWASP

OWASP
OWASP
web y aplicaciones
Documentation Projects OWASP
OWASP Application Security Verification Proporciona una base para probar los
Standard controles técnicos de seguridad de las
aplicaciones web y también proporciona a
los desarrolladores una lista de requisitos
para un desarrollo seguro
OWASP AppSensor Un marco conceptual y una metodología
que ofrece orientación prescriptiva para
implementar la detección de intrusos y la
respuesta automatizada en las
aplicaciones.
OWASP Software Assurance Maturity Model Un marco abierto para ayudar a las
(SAMM) organizaciones a formular e implementar
una estrategia para la seguridad del
software que se adapte a los riesgos
específicos que enfrenta la organización
Agenda:
• Que es OWASP

OWASP
OWASP
web y aplicaciones
OWASP
Documentation Projects
OWASP Top Ten Un poderoso documento de conciencia para la
seguridad de las aplicaciones web que
representa un amplio consenso sobre los riesgos
de seguridad más críticos para las aplicaciones
web
OWASP Testing Guide Incluye un marco de prueba de penetración de

"mejores prácticas" que los usuarios pueden
implementar en sus propias organizaciones y una
guía de prueba de penetración de "bajo nivel"
que describe las técnicas para probar los
problemas de seguridad de aplicaciones web y
servicios web más comunes
Agenda:
• Que es OWASP

OWASP
OWASP
web y aplicaciones
Documentation Projects • Características principales de
OWASP
OWASP Cheat Sheet Series La serie OWASP Cheat Sheet se creó para
proporcionar una recopilación concisa de
información de alto valor sobre temas específicos
de seguridad de aplicaciones. Estas hojas de
trucos fueron creadas por varios profesionales de
seguridad de aplicaciones que tienen experiencia
en temas específicos.
OWASP Mobile Security Testing Guide Un estándar de seguridad para aplicaciones

móviles y una guía de prueba integral que cubre
los procesos, técnicas y herramientas utilizadas
durante una prueba de seguridad de
aplicaciones móviles, así como un conjunto
exhaustivo de casos de prueba que permite a los
evaluadores entregar resultados consistentes y
completos.
Agenda:
• Que es OWASP
UTILIZANDO OWASP PARA COMPROBAR • Marco de trabajo SAMM

LA SEGURIDAD DE LAS APLICACIONES • Proyectos emblemáticos de

OWASP
WEB Y APLICACIONES comprobar la seguridad de las
web y aplicaciones
OWASP
 El OWASP Guide Project

 Es una guía que establece lo que es necesario que el analista de seguridad audite en las aplicaciones web. Estos
controles se pueden agrupar entre las siguientes categorías:
 Recopilación de información
 Configuración y despliegue
 Gestión de la Identidad
 Autenticación
 Control de la sesión
 Validación de entrada de datos
 Manejo de errores
 Criptografía
 Lógica de la aplicación
 Pruebas de cliente
 La guía maneja un total de 87 controles, estas pruebas permiten obtener un estado global y actualizado de toda la
seguridad de la aplicación.
Agenda:
• Que es OWASP


OWASP
web y aplicaciones
OWASP
 Aplicaciones Móviles
 Las aplicaciones móviles en la actualidad, han creado brechas diferentes frente a la

seguridad de las aplicaciones, debido a que los controles de las mismas son completamente
diferentes a las que se encuentran en una aplicación web estándar, para ese fin OWASP
tiene a su disposición un proyecto denominado OWASP Mobile Security Testing Guide el cual
se enfoca en auditar aplicaciones móviles Android e iOS. La conforman 3 documentos
relacionados entre sí:
 OWASP Mobile App Security Verification Standard (MASVS): Los requisitos de seguridad a
verificar por el auditor.
 Mobile Security Testing Guide (MSTG): Instrucciones para verificar cada requisito del MASVS
(Guía de buenas prácticas para que el auditor testee el requisito de seguridad).
 Mobile App Security Checklist: Lista de comprobación de los requisitos del MASVS.
Agenda:
• Que es OWASP


OWASP
web y aplicaciones
OWASP
 Internet de las Cosas

 En los últimos años se ha visto el surgimiento del movimiento
denominado Internet of Things (IoT) o en español el Internet de
las Cosas, que no es más que la convergencia de tecnologías
con equipos electrónicos, máquinas mecánicas y digitales,
objetos animales o personas con identificadores únicos y que
pueden transferir información a través de una red sin la
intervención humano a humano o humano computadora.
Debido al gran auge de estas tecnologías crecientes e
incidentes que se han suscitado con estos dispositivos OWASP
tiene una rama que se encarga de auditar dispositivos IoT con el
proyecto denominado OWASP Internet of Things Project.
Agenda:
• Que es OWASP


OWASP
web y aplicaciones
OWASP
 Top 10
Agenda:
• Que es OWASP
CARACTERÍSTICAS PRINCIPALES DE • Herramientas para apoyar el

OWASP
OWASP
web y aplicaciones
OWASP
 OWASP no es la única metodología existente para la evaluación y auditorías de

seguridad, pues existen otras metodologías con beneficios y contras entre sí,
entre las cuales podemos mencionar OSSTMM, CbyC, SDL, SAFECode, pero
OWASP destaca por las siguientes características:
 Metodología enfocada al elemento a auditar: OWASP tiene múltiples proyectos
para múltiples situaciones, mientras las otras metodologías tienen lineamientos
genéricos en las auditorías de seguridad, y dependiendo de la tecnología que se
utilice, se necesita una guía adecuada a lo que se está auditando.
 Revisión y actualización: Las metodologías de OWASP están en constante
análisis, actualización y maduración, debido a ser proyectos abiertos, son
muchos más lo que profesionales que pueden aportar a la metodología
incrementando de esta manera la seguridad y el crecimiento de las mismas.
 Reuniones de actualidad: El proyecto OWASP fomenta la participación de la
comunidad organizando reuniones en las distintas sedes o “capítulos” donde se
da la oportunidad de mostrar los últimos avances en ciberseguridad y auditoría
para mantener el proyecto actualizado.
GRACIAS POR SU ATENCIÓN

Presentación de Owasp UDB

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Presentación de Owasp UDB

Încărcat de

Drepturi de autor:

Formate disponibile

METODOLOGÍAS DE

MARCO DE TRABAJO: SAMM

MARCO DE TRABAJO: SAMM

 SAMM Business Functions: Se comienza con el núcleo de

MARCO DE TRABAJO: SAMM

 Por debajo de cada Security Practice

HERRAMIENTAS PARA APOYAR EL • Herramientas para apoyar el

MARCO DE TRABAJO DE SAMM

HERRAMIENTAS PARA APOYAR EL • Herramientas para apoyar el

MARCO DE TRABAJO DE SAMM

HERRAMIENTAS PARA APOYAR EL • Herramientas para apoyar el

MARCO DE TRABAJO DE SAMM

estas herramientas para la versión 1.5 de SAMM, al

PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

OWASP Web Testing Environment (WTE) Una colección de herramientas y

OWASP OWTF Herramienta Pentesting para encontrar,

PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

OWASP Security Shephard Una plataforma de capacitación en seguridad

OWASP DefectDojo Una herramienta de gestión de vulnerabilidades

PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

OWASP CSRFGuard Una biblioteca que implementa una

PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

OWASP Testing Guide Incluye un marco de prueba de penetración de

PROYECTOS EMBLEMÁTICOS DE • Herramientas para apoyar el

OWASP Mobile Security Testing Guide Un estándar de seguridad para aplicaciones

UTILIZANDO OWASP PARA COMPROBAR • Marco de trabajo SAMM

LA SEGURIDAD DE LAS APLICACIONES • Proyectos emblemáticos de

 El OWASP Guide Project

UTILIZANDO OWASP PARA COMPROBAR • Marco de trabajo SAMM

LA SEGURIDAD DE LAS APLICACIONES • Proyectos emblemáticos de

 Las aplicaciones móviles en la actualidad, han creado brechas diferentes frente a la

UTILIZANDO OWASP PARA COMPROBAR • Marco de trabajo SAMM

LA SEGURIDAD DE LAS APLICACIONES • Proyectos emblemáticos de

 Internet de las Cosas

UTILIZANDO OWASP PARA COMPROBAR • Marco de trabajo SAMM

LA SEGURIDAD DE LAS APLICACIONES • Proyectos emblemáticos de

CARACTERÍSTICAS PRINCIPALES DE • Herramientas para apoyar el

 OWASP no es la única metodología existente para la evaluación y auditorías de

S-ar putea să vă placă și