Actividad 1

SEGURIDAD EN
DESARROLLO DE
APLICACIONES

NOMBRE: LUIS GERARDO OLVERA GALVAN

MATRÍCULA: 16438

GRUPO: 8°D

CATEDRÁTICO: JORGE ALBERTO CANALES

TENORIO

ING. JORGE ALBERTO CANALES TENORIO

INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

Seguridad en Desarrollo de Aplicaciones

OBJETIVO DE APRENDIZAJE:

Aprendí que la seguridad no es un producto, es una sumatoria de personas,

procesos y tecnología.
También que suelen ser más costosa de aplicar la seguridad al final y no durante
el proceso.

1
INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

Principios de codificación segura

ACTIVIDAD
1. OWASP Zed Attack Proxy (ZAP):

OWASP ZAP es un escáner de seguridad web de código abierto. Pretende ser

utilizado como una aplicación de seguridad y como una herramienta
profesional para pruebas de penetración. Es uno de los proyectos más activos
de OWASP. y se le ha dado un estatus de desarrollo insignia.

• Principales características de OWASP ZAP

Lo primero que debemos indicar es que OWASP ZAP no es una herramienta

comercial, es completamente gratuita y de código abierto, además, es una
herramienta multiplataforma, siendo compatible con sistemas operativos
Windows (de 32 y 64 bits), Linux, MacOS, e incluso podemos descargarnos un
contenedor Docker que incorporará todo lo necesario para ejecutarlo

2
INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

correctamente. Los usuarios de esta herramienta forense de seguridad podrán
auditar diferentes aplicaciones web con una serie de funciones y análisis
específicos.

También podremos localizar recursos en un servidor, realizar análisis

automáticos, análisis pasivos, posibilidad de lanzar varios ataques a la vez, e
incluso usar certificados SSL dinámicos.

Actualmente ZAP se encuentra en su versión 2.10, y han ido incorporando una

gran cantidad de nuevas funcionalidades, como nuevos modos de ataque para
buscar vulnerabilidades, mejoras en el sistema de inyección para atacar varios
servidores simultáneamente, sistemas de políticas para elegir diferentes reglas
que formarán parte del análisis, diálogos de escaneo con opciones avanzadas,
nuevos plugins de control de acceso y secuencia de escaneo para configurar
perfectamente cómo queremos que se realice el ataque y la verificación de
vulnerabilidades y mucho más.

3
INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

2. BeEF (The Browser Exploitation Framework):

The Browser Exploitation Framework (BeEF) es una poderosa herramienta de

seguridad profesional. La BeEF usa técnicas pioneras que proporcionan la
prueba de intrusión con experiencia a los vectores de ataque del lado del cliente
prácticos. A diferencia de otros marcos de seguridad, BeEF se centra en el
aprovechamiento de las vulnerabilidades del navegador para evaluar la postura
de seguridad de un objetivo. Este proyecto es desarrollado exclusivamente para
la investigación legal y pruebas de penetración.

BeEF engancha (Hook) uno o más navegadores web como cabezas de playa para
la puesta en marcha de los módulos de mando dirigidos. El marco permite que
el probador de la penetración pueda seleccionar los módulos específicos (en
tiempo real) para apuntar a cada navegador, y por lo tanto a cada contexto.

El marco contiene numerosos módulos de comando que emplean API sencilla y

potente de la BeEF. Esta API está en el corazón de la eficacia y eficiencia de la
estructura. Se abstrae la complejidad y facilita el desarrollo rápido de los
módulos personalizados.

4
INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

3. Burp Suite:

Burp Suite es una herramienta fundamental dentro de la seguridad informática,

creada por la empresa PortSwigger y escrita en Java que permite realizar
pruebas de seguridad de aplicaciones web, Burp Suite cuenta con una versión
gratuita (Burp Free) y una versión de pago (Burp Professional).

Entre las funciones básicas se encuentra el servidor proxy que permite

inspeccionar y modificar el tráfico haciendo de intermediario entre el
navegador y la aplicación destino, el escáner de vulnerabilidades que
automatiza la detección de varios tipos de vulnerabilidades de aplicaciones
web, el repetidor se utiliza para modificar y reenviar solicitudes individuales al
servidor, y muchas otras funcionalidades.

Burp le da control total, lo que le permite combinar avanzadas técnicas

manuales con la automatización de pruebas de seguridad alineadas con el
estado de la técnica, para hacer su trabajo más rápido, más eficaz y más
divertido.

5
INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

Burp Suite contiene los siguientes componentes principales:

• Proxy de interceptación tráfico de navegación (HTTP y HTTPs).

• Módulo de descubrimiento e indexación de contenido (Spider)
• Escáner de aplicaciones Web
• Herramientas de Fuzzing avanzadas
• Análisis de sesiones
• Soporte de potentes plugins (extensiones)
• Numerosas herramientas colaborativas.

Burp es fácil de usar e intuitivo, permitiendo a los nuevos usuarios comenzar a

trabajar de inmediato. Burp también es altamente configurable, y contiene
numerosas características para ayudar a los analistas de seguridad más
experimentados con las auditorías de seguridad web.

4. PeStudio:

Es una herramienta desarrollada para poder analizar fácilmente todo tipo de

archivos ejecutables (de los cuales no podemos ver el código fuente), identifica
la información relevante sobre el funcionamiento de los mismos y nos la
muestra en una ventana ordenada y relativamente sencilla de comprender,
pudiendo saber qué módulos de los ejecutables pueden ser peligrosos para
nuestro ordenador.

6
INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

Para ayudar a los usuarios a identificar a primera vista el nivel de amenaza que
representa cada resultado se ha incorporado un código de colores: con el color
verde no hay problemas, con el amarillo o el naranja habría que echar un vistazo
y con el color rojo urge solucionar el problema cuanto antes.

Podemos encontrar la aplicación en dos variantes: con interfaz gráfica y como

programa exclusivo de la línea de comandos. Se trata de una herramienta muy
útil con una integración de la base de datos de VirusTotal excelente, y que
podría servir a muchos para detectar posibles amenazas en sus ordendadores
de forma rápida.

7
INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE

SEGURIDAD EN DESARROLLO DE SOFTWARE

BIBLIOGRAFIA

https://es.wikipedia.org/wiki/OWASP_ZAP

https://www.redeszone.net/tutoriales/seguridad/owasp-zap-auditar-
seguridad-web/

https://noticiasseguridad.com/hacking-incidentes/ataques-al-navegador-del-
usuario-usando-beef/

https://www.tarlogic.com/es/productos/burp-suite-professional/

https://rootear.com/windows/pestudio

https://www.redeszone.net/2015/08/22/analiza-ficheros-exe-antes-de-
ejecutarlos-con-pestudio/