Guía de Pruebas de

Webinar Gratuito

OWASP
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com

Jueves 31 de Enero del 2019

Presentación
Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation
Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials
Certificate, IT Masters Certificate of Achievement en Network Security
Administrator, Hacking Countermeasures, Cisco CCNA Security,
Information Security Incident Handling, Digital Forensics, Cybersecurity
Management Cyber Warfare and Terrorism, Enterprise Cyber Security
Fundamentals y Phishing Countermeasures.

Ha sido instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky

Perú. Cuenta con más de 16 años de experiencia y desde hace 12 años
labora como consultor e instructor independiente en las áreas de
Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales
en Ecuador, España, Bolivia y Perú, presentándose también
constantemente en exposiciones enfocadas a Hacking Ético, Forense
Digital, GNU/Linux.

https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero

https://www.facebook.com/alonsoreydes/ http://www.reydes.com

https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Introducción
La creación de la versión 4 de la Guía de pruebas de OWASP, tiene
como propósito ser una guía estándar de facto para realizar
pruebas de penetración contra aplicaciones web. La versión 4 de la
guía de pruebas de OWASP, mejora la versión anterior de tres
maneras.

1. Esta versión se integra con otros dos documentos de OWASP; la

guía para desarrolladores, y la guía para revisión de código.

2. Todos los capítulos han sido mejorados y los casos de pruebas

ampliados a 87, incluyendo la introducción de cuatro nuevos
capítulos y controles.

3. Esta versión alienta a la comunidad a no aceptar simplemente

los casos descritos en la guía. Recomienda integrar con otro
software de prueba y diseñar casos de pruebas específicos.
* OWASP Testing Guide v4: https://www.owasp.org/index.php/OWASP_Testing_Project

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Proyecto de Pruebas de OWASP
Este proyecto ha estado en desarrollo por muchos años. El
propósito del proyecto es ayudar a las personas a entender el que,
porque, cuando, donde, y el como de las pruebas a aplicaciones
web.

El proyecto entrega una completa estructura para pruebas, no

meramente una lista de verificación o prescripción de problemas
los cuales deben sera abarcados.

Los lectores pueden utilizar esta estructura de trabajo como una

plantilla para construir sus propios programas de pruebas, o para
cualificar los procesos de otras personas.

La guía de pruebas describe en detalle ya sea la estructura general

de pruebas, y las técnicas requeridas para implementar el marco de
trabajo en la practica.
* Testing Guide Introduction:
https://www.owasp.org/index.php/Testing_Guide_Introduction#The_OWASP_Testing_Project
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Pruebas de Penetración
Han sido una técnica comúnmente utilizada para evaluar la
seguridad de las redes por muchos años. También se conoce como
pruebas de caja negra o Hacking Ético.

La prueba de penetración es el “arte” de probar una aplicación en

funcionamiento de manera remota, para encontrar
vulnerabilidades de seguridad, sin conocer el funcionamiento
interno de la aplicación en si.

Típicamente un equipo de prueba de penetración tendrá acceso

hacia una aplicación, como si fuesen los usuarios. El profesional
actúa como un atacante e intenta encontrar y explotar
vulnerabilidades.

En muchos casos al profesional se le proporcionará una cuenta

válida en el sistema.
* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Pruebas de Penetración (Cont.)
Si bien las pruebas de penetración demuestran ser efectivas en la
seguridad de las redes, la técnica no se traduce naturalmente hacia
las aplicaciones.

Cuando se realiza una prueba de penetración en redes y sistemas

operativos, la mayoría del trabajo implica encontrar y explotar
vulnerabilidades conocidas en tecnologías específicas.

Como las aplicaciones web son casi exclusivamente hechas a

medida, las pruebas de penetración en este campo son más
parecidas a una investigación pura.

Se han desarrollado herramientas para automatizar el proceso,

pero dada la naturaleza de las aplicaciones web, su efectividad es
usualmente baja.

* Penetration Testing: https://www.owasp.org/index.php/Testing_Guide_Introduction#Penetration_Testing

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Estructura de Trabajo para Pruebas de OWASP
Se describe una estructura típica de pruebas a desplegar en una
organización:

Fase 1: Antes de iniciar de desarrollo

●
Fase 1.1: Definir un SDLC
●
Fase 1.2: Revisar las políticas y estándares
●
Fase 1.3: Desarrollar criterios de medidas y métricas y asegurar
trazabilidad

Fase 2: Durante la definición y diseño

●
Fase 2.1: Revisión de requerimientos en seguridad
●
Fase 2.2: Revisión del diseño y arquitectura
●
Fase 2.3: Crear y revisar modelos UML
●
Fase 2.4: Crear y revisar modelos de amenazas

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Estructura de Trabajo para Pruebas de OWASP
Fase 3: Durante el desarrollo

●
Fase 3.1: Recorrer a través del código
●
Fase 3.2: Revisión del código

Fase 4: Durante el despliegue

●
Fase 4.1: Pruebas de penetración contra la aplicación
●
Fase 4.1: Pruebas de gestión de la configuración

Fase 5: Mantenimiento y operaciones

●
Fase 5.1: Realizar revisiones de gestión operacional
●
Fase 5.2: Realizar verificaciones periódicas de bienestar
●
Fase 5.3: Asegurar verificación de cambios

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Un Típico Flujo de Trabajo para Probar SDLC

* A Typical SDLC Testing Workflow:

https://www.owasp.org/index.php/The_OWASP_Testing_Framework#A_Typical_SDLC_Testing_Workflow
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Pruebas de Seguridad a Aplicaciones web
Es un método para evaluar la seguridad de un sistema de cómputo
o red, mediante una validación metodológica, y verificando la
efectividad de los controles de seguridad en la aplicación.

Una prueba de seguridad contra aplicaciones web se enfoca

únicamente en evaluar la seguridad de una aplicación web. El
proceso involucra análisis activo de la aplicación por debilidades,
fallas técnicas, o vulnerabilidades.

Cualquier inconveniente encontrado será presentado al

propietario del sistema, junto con una evaluación del impacto, y
una propuesta para mitigarlo o una solución técnica.

* Testing: Introduction and objectives: https://www.owasp.org/index.php/Testing:_Introduction_and_objectives

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Metodología de Pruebas de OWASP
Las pruebas de seguridad nunca serán una ciencia exacta, donde se
pueda definir una lista completa de todos los posibles
inconvenientes a ser evaluados. De hecho, las pruebas de
seguridad son únicamente una técnica apropiada para probar la
seguridad de las aplicaciones web, bajo ciertas circunstancias.

El objetivo del proyecto es recopilar todas las técnicas de pruebas

posibles, explicar las técnicas, y mantener la guía actualizada. El
método de prueba de seguridad contra aplicaciones web de
OWASP, se basa en la perspectiva de caja negra. En donde el
profesional no conoce nada o tiene poca información sobre la
aplicación a ser evaluada.

El modelo está constituido de; el profesional, herramientas y

metodologías, y la aplicación.

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Lista de Verificación de Pruebas
La siguiente es un resumen de la lista de controles a evaluar
durante las pruebas.

●
Captura de Información (Information Gathering)
●
Pruebas de Gestión de las Configuración y Despliegue
(Configuration and Deploy Management Testing)
●
Pruebas de Gestión de Identidad (Identity Management
Testing)
●
Pruebas de Autenticación (Authentication Testing)
●
Pruebas de Autorización (Authorization Testing)
●
Pruebas de Gestión de la Sesión (Session Management Testing)
●
Pruebas de Validación de Datos (Data Validation Testing)
●
Manejo de Error (Error Handling)
●
Criptografía (Cryptography)
●
Pruebas de la Lógica de la Empresa (Business Logic Testing)
●
Pruebas del Lago del Cliente (Client Side Testing)
* Testing Checklist: https://www.owasp.org/index.php/Testing_Checklist

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Captura de Información
Probar por captura de información incluye los siguientes artículos:

●
Realizar Descubrimiento en Motores de Búsqueda y
Reconocimiento por Fuga de Información
●
Obtener la Huella del Servidor Web
●
Revisar Metaarchivos del Servidor Web por Exposición de
Información
●
Enumerar las Aplicaciones en el Servidor Web
●
Revisar los Comentarios y Metadatos de la Página Web por
Exposición de Información
●
Identificar Puntos de Entrada a la Aplicación
●
Mapear Rutas de Ejecución a través de la Aplicación
●
Obtener la Huella del Framework de la Aplicación Web
●
Obtener una Huella de la Aplicación Web
●
Mapa de la Arquitectura de la Aplicación

* Testing for Information Gathering: https://www.owasp.org/index.php/Testing_Information_Gathering

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Curso Virtual Hacking Aplicaciones Web 2019

Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
e-mail: reydes@gmail.com Sitio web: http://www.reydes.com
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Demostraciones
.

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Cursos Virtuales Disponibles en Video
Curso Virtual de Hacking Ético
http://www.reydes.com/d/?q=Curso_de_Hacking_Etico

Curso Virtual de Hacking Aplicaciones Web

http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

Curso Virtual de Informática Forense

http://www.reydes.com/d/?q=Curso_de_Informatica_Forense

Curso Virtual Hacking con Kali Linux

http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux

Curso Virtual OSINT - Open Source Intelligence

http://www.reydes.com/d/?q=Curso_de_OSINT

Curso Virtual Forense de Redes

http://www.reydes.com/d/?q=Curso_Forense_de_Redes

Y todos los cursos virtuales:

http://www.reydes.com/d/?q=cursos
Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Más Contenidos
Videos de 44 webinars gratuitos

http://www.reydes.com/d/?q=videos

Diapositivas de los webinars gratuitos

http://www.reydes.com/d/?q=node/3

Artículos y documentos publicados

http://www.reydes.com/d/?q=node/2

Blog sobre temas de mi interés.

http://www.reydes.com/d/?q=blog/1

Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
 Guía de Pruebas de
Webinar Gratuito

OWASP
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com

Jueves 31 de Enero del 2019