Como previa al BarcampSE V3, escribire este pequeño pero interesante post, para dar un adelanto de lo que es OWSAP.
OWSAP ( The Open Web Application Security Project ), en español un proyecto de seguridad informatica con base en herramientas OpenSource, el mismo busca disminuir la brecha de seguridad de las aplicaciones web mediante herramientas y marcos de referencia.
En la actualidad son un grupo sin animo de lucro, sostenido por diversas universidades a nivel global, colabores y empresas del sector de la seguridad que aportan y colaborar con el proyecto.
OWSAP ofrece herramientas para hacer de nuestras apps lo mas seguras posibles, a continuacion detallo algunos de los proyectos que se convirtieron en excelentes herramientas.
OWASP AntiSamy
El proyecto OWASP AntiSamy es
unas cuantas cosas. Técnicamente, es una API para asegurarse que las entradas
HTML/CSS del usuario estén en cumplimiento con las reglas de la aplicación.
Otra forma de decirlo podría ser: es una API que le ayuda a asegurarse que los
clientes no provean código malicioso en el HTML que proveen para su perfil,
comentarios, etc. Que se quedan almacenados en el servidor. El termino código
malicioso en términos de aplicaciones Web es generalmente relacionado solo con
JavaScript. Hojas de estilo en cascada (CSS) son solo consideradas maliciosas
cuando invocan a JavaScript. Sin embargo, hay muchas situaciones donde HTML y
CSS “normales” pueden ser usados de una forma maliciosa.
Filosóficamente, AntiSamy es una
desviación de todos los mecanismos contemporáneos de seguridad. Generalmente,
los mecanismos de seguridad y los usuarios tienen una comunicación que es
virtualmente de una vía, por una buena razón. Dejar al atacante potencial saber
detalles acerca de la validación no se considera prudente, ya que permite que
al atacante “aprenda” y “reconstruya” el mecanismo para debilidad. Estos tipos
de fuga de información pueden también dañar en formas que usted no espera. Un
mecanismo de ingreso que le dice al usuario, “Usuario invalido” revela el hecho
de que un usuario con ese nombre no existe. Un usuario podría usar un
diccionario o directorio telefónico o ambos para obtener remotamente una lista
de usuarios validos. Usando esta información, un atacante podría lanzar un ataque de
fuerza bruta o negación de servicio masivo de bloqueo de
cuentas.
————————————————————————————
OWASP CAL9000
CAL9000 es una colección de
herramientas de prueba de seguridad de aplicaciones web que complementan el
conjunto de web proxies y escáners automáticos actuales. CAL9000 le da la flexibilidad y
funcionalidad que necesita para aumentar la eficacia de las pruebas manuales.
Funciona mejor cuando se usa con Firefox o Internet Explorer.
CAL9000 esta escrito en
JavaScript, así que usted tiene completo acceso al código fuente. Siéntase
libre de modificarlo para que se adapte mejor a sus necesidades particulares.
CAL9000 tiene algunas características poderosas (como ejecutar cross-domain
xmlHttpRequests y escribir a disco). Esta diseñado a propósito para hacer
algunas cosas horriblemente inseguras. Por lo tanto, quisiera alentar
firmemente que únicamente lo corra localmente y NO fuera de un servidor.
————————————————————————————
OWASP CLASP
CLASP (Proceso de seguridad en
aplicación completo y ligero) proporciona un enfoque bien organizado y
estructurado para mover las inquietudes de seguridad a las fases iniciales del
ciclo de vida de desarrollo de software, cuando esto sea posible.
CLASP es en realidad un conjunto
de piezas de proceso que puede ser integrado en cualquier proceso de desarrollo
de software. Esta diseñado para ser fácil de adoptar y efectivo a la vez. Toma
un enfoque prescriptivo, documentando las actividades que las organizaciones
debería estar haciendo. Y proporciona una amplia riqueza de recursos de
seguridad que hacen razonable implementar esas actividades.
————————————————————————————
OWASP DirBuster
DirBuster es una aplicación Java
multi hilo diseñada para obtener por fuerza
bruta los nombres de directorios y archivos en servidores
Web/de aplicación. A menudo ocurre que lo que ahora parece un servidor Web en
una fase de instalación por omisión no lo es, y tiene paginas y aplicaciones
ocultas. DirBuster trata de encontrar estos.
Sin embargo, las herramientas de
esta naturaleza a menudo son solo tan buenas como la lista de archivos y
directorios con los que vienen. Un enfoque diferente fue usado para generar
esto. La lista fue generada desde cero, rastreando en Internet y colectando los
directorios y archivos que son realmente usados por los desarrolladores!
DirBuster viene con un total de 0 listas diferentes (Mas información puede ser
encontrada mas adelante), esto hace a DirBuster extremadamente efectivo
encontrando esos archivos y directorios ocultos. Y si eso no fuera suficiente,
DirBuster también tiene la opción de realizar fuerza bruta pura, lo
que no les deja lugar para esconderse a los archivos y directorios ocultos! Si
tiene el tiempo
————————————————————————————
OWASP Encoding
Las aplicaciones web enfrentan
un gran numero de amenazas; una de ellas es cross-site scripting y ataques de
inyección relacionados. El 90% de todas las aplicaciones web contiene ataques
de cross-site scripting porque son fáciles de introducir, y las herramientas
adecuadas no están siempre disponibles para prevenirlos. La biblioteca Reform
proporciona un conjunto sólido de funciones para codificar la salida para los
objetivos de contexto mas comunes en aplicaciones web (por ejemplo: HTML, XML,
JavaScript, etc.). La biblioteca también tiene una opinión conservadora
de cuales son los caracteres permitidos basado en vulnerabilidades históricas y
técnicas actuales de inyección.
————————————————————————————
OWASP Enterprise Security API
La ESAPI es una colección gratis
y abierta de todos los métodos de seguridad que un desarrollador necesita para
construir una aplicación Web segura. Usted puede user solo las interfases y
construir su propia implementación usando la infraestructura de su compañía. O,
puede user la implementación de referencia como un punto de inicio. En
concepto, la API es independiente del lenguaje. Sin embargo, los primeros
entregables del proyecto son una API Java y una referencia de implementación
Java. Esfuerzos para construir ESAPI en .NET y PHP están en marcha.
Desafortunadamente, las
plataformas disponibles, y herramientas (Java EE, Struts, Spring, etc…)
simplemente no proporcionan protección suficiente.
Esto deja a los desarrolladores con la responsabilidad de diseñar y construir
mecanismos de seguridad. Este reinventado de la rueda para cada aplicación
lleva a una perdida de tiempo y agujeros de seguridad masivos.
————————————————————————————
OWASP Insecure Web App
InsecureWebApp es una aplicación
que incluye vulnerabilidades comunes en aplicaciones Web. Es un objetivo de pruebas de
penetración automatizadas y manuales, análisis de código
fuente, evaluaciones
de vulnerabilidades y modelado de amenazas.
InsecureWebApp es ante todo una
ayuda para desafiar y mejorar las habilidades de diseño y
codificación segura. Arquitectos y desarrolladores necesitan aprender a identificar
las vulnerabilidades en una aplicación Web real. Los
objetivos de esta herramienta son de tres tipos: 1) demostrar lo peligrosas que
pueden ser la vulnerabilidades de las aplicaciones, 2) cerrar la
brecha que existe entre la teoría de seguridad en aplicaciones y la código que
realmente se esta diseñando y escribiendo, 3) aprender como estas
vulnerabilidades pueden ser arregladas.
————————————————————————————
OWASP LAPSE
LAPSE significa Análisis Ligero
para Seguridad en Programas en Eclipse (Lightweight Analysis for Program
Security in Eclipse). LAPSE esta diseñado para ayudar con la tarea de auditar
aplicaciones Java J2EE para tipos comunes de vulnerabilidades encontradas en
aplicaciones web. LAPSE fue desarrollado por Benjamin Livshits como parte del
Griffin Software Security Project.
————————————————————————————
OWASP Live CD
El LiveCD de OWASP (LabRat) es
un CD de arranque (bootable) similar a knoppix pero dedicado a seguridad de
aplicaciones. Servirá como un vehiculo y medio de distribución para las
herramientas y guías de OWASP.
La versión 2 del LiveCD de OWASP
esta enfocada en las herramientas y documentación de OWASP. La estructura del
menú ha sido construida en torno a los tres (3) niveles de estado de los
proyectos de OWASP (Releases, Alpha y Beta). Cada área ha sido separada en
documentos y herramientas (Doc y Tools) para hacer mas simples las
actualizaciones. Las paginas Wiki ahora están ligadas para cada herramienta y
documento de OWASP.
————————————————————————————
OWASP Pantera Web Assessment
Studio
Pantera usa una versión mejorada
de SpikeProxy para proporcionar una poderosa maquina de análisis de
aplicaciones Web
El objetivo principal de Pantera
es combinar las capacidades automáticas con pruebas manuales completas para
obtener los mejores resultados de pruebas de intrusión.
————————————————————————————
OWASP SQLiX
SQLiX, programado en Perl, es un
scanner de inyección SQL, capaz de rastrear, detectar inyecciones SQL,
identificar el tipo de base de datos y obtener resultados UDF o de llamadas de
función (inclusive ejecutar comandos del sistema para MS-SQL). Los conceptos en
uso son diferentes a los usados en otros scanners de inyección SQL. SQLiX es
capaz de encontrar inyección SQL normal y a ciegas y no necesita hacer
ingeniería inversa a la petición SQL original.
————————————————————————————
OWASP Validation
La mayoría de las plataformas de
aplicaciones Web no incluyen características para validar entradas del usuario.
Esto deja a muchas organizaciones a crear sus propios mecanismos de validación,
normalmente incompletos, defectuosos e ineficientes.
El Proyecto de Validación de
OWASP fue creado para proveer guía y herramientas relacionadas a la validación.
Nuestra filosofía es que la validación es requerida para cada petición HTTP,
incluyendo cabeceras, cadenas, cookies, formas, campos y campos ocultos.
————————————————————————————
OWASP WSFuzzer
WSFuzzer es un programa LGPL,
escrito en Python, que actualmente apunta hacia Web Services. En la versión
actual los servicios SOAP basados en http son el principal objetivo. Esta
herramienta fue creada basada en, y para automatizar, el trabajo de pruebas de
intrusión manual para SOAP en el mundo real. Esta herramienta NO esta destinada
para ser un reemplazo del análisis humano manual sólido. Por favor vea a
WSFuzzer como una herramienta para aumentar el análisis realizado por
profesionales reconocidos y competentes. Los servicios Web no son de naturaleza
trivial así que la experiencia en esta área es necesaria para las correctas
pruebas de intrusión.
————————————————————————————
parte de la informacion llego desde www.dragonjar.org
parte de la informacion llego desde www.dragonjar.org
No hay comentarios:
Publicar un comentario