If you can't read please download the document
Upload
tantascosasquenose
View
350
Download
1
Embed Size (px)
DESCRIPTION
Curso básico seguridad web 4: WebPentesting
Citation preview
3. Compartir Igual (Share alike): La explotacin autorizada incluye la creacin de obras derivadas siempre que mantengan la misma licencia al ser divulgadas. 4. SEGURIDAD EN APLICACIONES WEB Web Pentesting WEB PENTESTING Test de penetracin web 5. SEGURIDAD EN APLICACIONES WEB Web Pentesting Pruebas de penetracin (Penetration test/Pentesting) Es un mtodo para evaluar la seguridad de un sistema simulando un ataque al mismo. Se puede realizar sobre diferentes puntos del sistema a estudiar (aplicacin web, sistemas, ...) 6. SEGURIDAD EN APLICACIONES WEB Web Pentesting Como se realiza un Pentesting?
7. Revsaremos la metodologa de testing OWASP 8. SEGURIDAD EN APLICACIONES WEB Web Pentesting Esta metodologa implica la catalogacin de cualquier vulnerabilidad encontrada junto con la asignacin de un nivel de impacto a la misma y las recomendaciones pertinentes para solucionarla. 9. SEGURIDAD EN APLICACIONES WEB Web Pentesting Consta de una serie de puntos a testear que organiza en dos fases.
10. SEGURIDAD EN APLICACIONES WEB Web Pentesting
11. Autenticacin 12. Gestin de la sesin 13. Autorizacin 14. Lgica de negocio
15. Denegacin de servicio 16. Web Services 17. Ajax Fase activa. En las que se realizarn pruebas sobre: 18. SEGURIDAD EN APLICACIONES WEB Web Pentesting La utilizacin de esta metodologa nos permitir realizar y documentar las pruebas de una manera ordenada y coherente.Cada subcategoria le corresponder un identificador. Por ejemplo:
Nos permite disponer de un checklist de tareas para ir anotando su realizacin y asegurar la revisin completa de la aplicacin. 19. SEGURIDAD EN APLICACIONES WEB Web Pentesting A continuacin iremos listando y explicando las actividades ms relevantes por las que nos gua esta metodologa y alguna de las herramientas que podemos usar para facilitar su cumplimiento 20. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recoleccin de informacin
22. Owasp ZAP 23. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recoleccin de informacin
25. Estructura 26. Herramientas:
27. Bing 28. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recoleccin de informacin
30. Paros Proxy 31. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recoleccin de informacin
33. NetCraft (online) 34. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recoleccin de informacin
36. Herramientas:
37. Netcraft 38. SEGURIDAD EN APLICACIONES WEB Web Pentesting Recoleccin de informacin
40. SEGURIDAD EN APLICACIONES WEB Web Pentesting Gestin de la configuracin
42. Herramientas:
43. sslscan 44. SEGURIDAD EN APLICACIONES WEB Web Pentesting Gestin de la configuracin
46. SEGURIDAD EN APLICACIONES WEB [In]Seguridad en internet. Pentesting
48. La posibilidad de saltarse el proceso de autenticacin (sqli, acceso directo por url, sesiones no aleatorias,...) 49. La robustez de la poltica de contraseas 50. La correcta gestin del logout Autenticacin 51. SEGURIDAD EN APLICACIONES WEB Web Pentesting
Polticas para evitar XSRF
Gestin de sesiones 52. SEGURIDAD EN APLICACIONES WEB Web Pentesting
Bypass del esquema de autorizacin
Autorizacin: 54. SEGURIDAD EN APLICACIONES WEB Web Pentesting Lgica de negocio
56. Flujos de informacin. 57. Esta tarea se tendr que realizar manualmente prestando especial atencin a aquellos puntos que puedan ser explotados 58. SEGURIDAD EN APLICACIONES WEB Web Pentesting
60. *Injection
Herramientas
Validacin de datos 61. SEGURIDAD EN APLICACIONES WEB Web Pentesting Lgica de negocio
62. SEGURIDAD EN APLICACIONES WEB Web Pentesting Verificar:
64. Bloqueo de cuentas de usuario 65. ... Denegacin de servicio (DOS) 66. SEGURIDAD EN APLICACIONES WEB Web Pentesting
Herramientas
67. WSDigger Web Service Testing 68. SEGURIDAD EN APLICACIONES WEB Web Pentesting
70. Bsqueda en internet de vulnerabilidades propias a dicho framework y prueba de las mismas Herramientas:
AJAX Testing 71. SEGURIDAD EN APLICACIONES WEB Web Pentesting
https://www.owasp.org/index.php/Testing_Checklist https://www.owasp.org/index.php/Web_Application_Penetration_Testing http://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf 72. SEGURIDAD EN APLICACIONES WEB Web Pentesting Como vemos el proceso de testing de la seguridad de una aplicacin web puede proveernos de una revisin reglada de los principales puntos de vulnerabilidad de un aplicacin. No obstante como todo proceso de testing nunca nos otorgara una garanta del 100% de seguridad