Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. CIBER RESILIENCIA
2. INNOVACIN
3. FSICA APLICADA
www.0rnitorrinco.cl
@0rnitorrincolab
26-04-2016
Agenda
26-04-2016
Agente de
Amenaza
Vector de Ataque
Prevalencia de la
debilidad
Qu tan detectable es
la debilidad
Impacto tcnico
Fcil
Extensa
Fcil
Severo
Promedio
Comn
Promedio
Moderada
Difcil
Poco comn
Difcil
Menor
1.66
1
2
3
Ejemplo de
Inyeccin
Impacto al negocio
A1-Entrada no validada
A1-Entrada no validada
A1-Secuencia de comandos
en sitios cruzados XSS
A1-Inyeccin
A1-Inyeccin
A2-Control de acceso
interrumpido
A2-Control de acceso
interrumpido
A2-Fallas de inyeccin
A2-Secuencia de comandos
en sitios cruzados XSS
A2-Prdida de autenticacin
y gestin de sesiones
A3-Administracin de
cuentas y sesin
interrumpida
A3-Administracin de
autenticacin y sesin
interrumpida
A3-Ejecucin de ficheros
malintencionados
A3-Prdida de autenticacin
y gestin de sesiones
A3-Secuencia de comandos
en sitios cruzados XSS
A4-Referencia insegura y
directa a objetos
A4-Referencia directa
insegura a objetos
A4-Referencia directa
insegura a objetos
A5-Desbordamiento de bfer
A5-Desbordamiento de bfer
A5-Falsificacin de
peticiones en sitios cruzados
CSRF
A5-Falsificacin de
peticiones en sitios cruzados
CSRF
A5-Configuracin de
seguridad incorrecta
A6-Fallas de inyeccin de
comandos
A6-Fallas de inyeccin
A6-Revelacin de
informacin y gestin
incorrecta de errores
6-Defectuosa configuracin
de seguridad
A6-Exposicin de datos
sensibles
A7-Problemas de manejo de
errores
A7-Manejo inadecuado de
errores
A7-Prdida de autenticacin
y gestin de sesiones
A7-Almacenamiento
criptogrfico inseguro
A7-Ausencia de control de
acceso a las funciones
A8-Uso inseguro de
criptografa
A8-Almacenamiento
inseguro
A8-Almacenamiento
criptogrfico inseguro
A8-Falla de restriccin de
acceso a URL
A8-Falsificacin de
peticiones en sitios cruzados
CSRF
A9-Fallas de administracin
remota(no aplicable)
A9-Negacin de servicio
A9-Comunicaciones
inseguras
A9-Proteccin insuficiente en
la capa de transporte
A10-Configuracin indebida
de servidor web y de
aplicacin
A10-Administracin de
configuracin insegura
A10-Falla de restriccin de
acceso a URL
A10-Redirecciones y reenvos
no validados
A10-Redirecciones y reenvos
no validados
26-04-2016
26-04-2016
26-04-2016
26-04-2016
Los controles proactivos de OWASP nos servirn, por tanto, para poder prepararnos frente al Top
10 presente y posteriores.
26-04-2016
Alternativa de OWASP
OWASP ZAP
Burp Suite
OWASP WebScarab
Burp Suite
OWASP Cal9000
Mltiples
OWASP Pantera
OWASP Mantra
OWASP SQLiX
Sqlninja / SQLInjector
OWASP WSFuzzer
Wfuzz
OWASP LAPSE
Google CodeSearch
Demonstrations
26-04-2016
Gracias por su
atencin!