26-04-2016

Preparacin para OWASP Top 10 - 2016

Sebastin Quevedo 0rnitorrinco labs

Sebastian@0rnitorrinco.cl

Corporacin Ornitorrinco Labs

Somos una organizacin sin nimo de lucro dedicada a la investigacin en Ciencia, Innovacin y Tecnologa
Lneas de investigacin:

1. CIBER RESILIENCIA
2. INNOVACIN
3. FSICA APLICADA

Seguridad de la Informacin/Ciber Seguridad

Inteligencia de Seguridad
Anlisis de Malware
Criptografa
Seguridad en Medios de Pago
Seguridad en Infraestructura Crtica
Seguridad en la Nube

www.0rnitorrinco.cl
@0rnitorrincolab

Seguridad en IoT / Smart City

26-04-2016

Agenda

Qu es el OWASP top 10?

Por qu lo discutiremos si an no se libera la versin 2016?
Formas de utilizar esta informacin
Uso de herramientas de OWASP y externas. Pros y Contras
Cierre

Qu es el OWASP top 10?

El top 10 de OWASP es un documento que muestra los 10 riesgos de

seguridad mas importante en aplicaciones web segn OWASP. Esta lista
se actualiza cada 3 aos y su ltima versin es la del 2013.
Este documento es un marco referencial para distintas certificaciones
como por ejemplo PCI DSS, SANS, DISA, FCT, entre otras.
Habla sobre RIESGOS no VULNERABILIDADES.
Se utiliza la metodologa OWASP Risk Rating para clasificar y elaborar
el top 10.

26-04-2016

OWASP Top 10 Risk Rating Methodology

Agente de
Amenaza

Vector de Ataque

Prevalencia de la
debilidad

Qu tan detectable es
la debilidad

Impacto tcnico

Fcil

Extensa

Fcil

Severo

Promedio

Comn

Promedio

Moderada

Difcil

Poco comn

Difcil

Menor

1.66

1
2
3

Ejemplo de
Inyeccin

Impacto al negocio

1.66 Peso de riesgo calculado

Qu es el OWASP top 10? cont.

OWASP Top 10-2003

OWASP Top 10-2004

OWASP Top 10-2007

OWASP Top 10-2010

OWASP Top 10-2013

A1-Entrada no validada

A1-Entrada no validada

A1-Secuencia de comandos
en sitios cruzados XSS

A1-Inyeccin

A1-Inyeccin

A2-Control de acceso
interrumpido

A2-Control de acceso
interrumpido

A2-Fallas de inyeccin

A2-Secuencia de comandos
en sitios cruzados XSS

A2-Prdida de autenticacin
y gestin de sesiones

A3-Administracin de
cuentas y sesin
interrumpida

A3-Administracin de
autenticacin y sesin
interrumpida

A3-Ejecucin de ficheros
malintencionados

A3-Prdida de autenticacin
y gestin de sesiones

A3-Secuencia de comandos
en sitios cruzados XSS

A4-Fallas de cross site

scripting XSS

A4-Fallas de cross site

scripting XSS

A4-Referencia insegura y
directa a objetos

A4-Referencia directa
insegura a objetos

A4-Referencia directa
insegura a objetos

A5-Desbordamiento de bfer

A5-Desbordamiento de bfer

A5-Falsificacin de
peticiones en sitios cruzados
CSRF

A5-Falsificacin de
peticiones en sitios cruzados
CSRF

A5-Configuracin de
seguridad incorrecta

A6-Fallas de inyeccin de
comandos

A6-Fallas de inyeccin

A6-Revelacin de
informacin y gestin
incorrecta de errores

6-Defectuosa configuracin
de seguridad

A6-Exposicin de datos
sensibles

A7-Problemas de manejo de
errores

A7-Manejo inadecuado de
errores

A7-Prdida de autenticacin
y gestin de sesiones

A7-Almacenamiento
criptogrfico inseguro

A7-Ausencia de control de
acceso a las funciones

A8-Uso inseguro de
criptografa

A8-Almacenamiento
inseguro

A8-Almacenamiento
criptogrfico inseguro

A8-Falla de restriccin de
acceso a URL

A8-Falsificacin de
peticiones en sitios cruzados
CSRF

A9-Fallas de administracin
remota(no aplicable)

A9-Negacin de servicio

A9-Comunicaciones
inseguras

A9-Proteccin insuficiente en
la capa de transporte

A9-Uso de componentes con

vulnerabilidades conocidas

A10-Configuracin indebida
de servidor web y de
aplicacin

A10-Administracin de
configuracin insegura

A10-Falla de restriccin de
acceso a URL

A10-Redirecciones y reenvos
no validados

A10-Redirecciones y reenvos
no validados

26-04-2016

Qu es el OWASP top 10?

A1 - Inyeccin: Engaar una aplicacin para que incluya

comandos malintencionados que sern enviados al interprete
de base de datos.
A2 Prdida de Autentificacin y gestin de sesiones: En HTTP
las credenciales viajan con cada peticin. Se debe usar TLS
para cada autentificacin. Existen muchas fallas
correspondientes a este punto.
A3 Cross-Site Scripting: Se enva informacin de un atacante
a una vctima mediante el navegador de esta. Se puede
almacenar, reflejar en el input web o ser enviada de forma
directa al cliente de JS.

Qu es el OWASP top 10?

A4 Referencia insegura a objetos: Hace referencia a obligar a

utilizar autorizacin apropiada a elementos y objetos, junto
con A7.
A5 Configuracin de seguridad Incorrecta: Puede afectar
desde el SO hasta el servidor de aplicaciones. Slo piense en
todos los lugares que ha viajado su cdigo fuente.
A6 Exposicin de datos sensibles: No se identifica la
informacin sensible de manera apropiada, su ubicacin,
dnde se enva o fallan las medidas de proteccin asociadas a
estos puntos.

26-04-2016

Qu es el OWASP top 10?

A7 Ausencia de control de acceso a funciones: : Hace

referencia a obligar a utilizar autorizacin apropiada a
elementos y objetos, junto con A4.
A8 CSRF: Se engaa a una vctima para que introduzca un
comando sobre un sitio vulnerable. La vulnerabilidad es
causada por un navegador que introduce automticamente
datos de autentificacin.
A9 Uso de componentes con vulnerabilidades conocidas:
Permite explotacin con herramientas automatizadas.

Qu es el OWASP top 10?

A10 Redirecciones y envos no vlidos: Un atacante puede

redirigir el trfico de una vctima a voluntad.

26-04-2016

Por qu lo discutiremos si an no se libera la

versin 2016?

El campo de la seguridad evoluciona rpidamente, pero los

riesgos del Top 10 no cambian sustancialmente ao a ao.
Buscamos predecir que cambios podran encontrarse en base
a la experiencia en el rea.
OWASP Top 10 Proactive Controls.

OWASP Top 10 Proactive Controls

26-04-2016

OWASP Top 10 Proactive Controls

Los controles proactivos de OWASP nos servirn, por tanto, para poder prepararnos frente al Top
10 presente y posteriores.

Para qu podemos utilizar esta

informacin?

En primer lugar, cada diseo de seguridad de redes debe

tomar esta lista en cuenta, y ser capaz de prevenir sus riesgos.
Se usa como marco referencial para identificar los principales
agentes de amenaza y vectores de ataque.
Cada CIO u Oficial de Seguridad debera usar los top 10 de
OWASP como referencia para su organizacin.
Cada programador web debera verificar el top 10 de OWASP
para prevenir las fallas explicitadas en el documento.

26-04-2016

Herramientas de OWASP Pros y Contras

Alternativa de OWASP

Alternativa del mercado

OWASP ZAP

Burp Suite

OWASP WebScarab

Burp Suite

OWASP Cal9000

Mltiples

OWASP Pantera

OWASP ZAP / Acunetix / Otros

OWASP Mantra

Mltiples addons en Firefox

OWASP SQLiX

Sqlninja / SQLInjector

OWASP WSFuzzer

Wfuzz

OWASP LAPSE

Google CodeSearch

Demonstrations

Para no apelar a los dioses de las demos en vivos, veamos los

siguientes recursos:

26-04-2016

Gracias por su
atencin!