‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de...
Transcript of ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de...
![Page 1: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/1.jpg)
The OWASP Foundation http://www.owasp.org
AppSec Latam ‘11
Usando OWASP para cumplir PCI-DSS
Mauro Flores OWASP Global Industry Committee
OWASP PCI Project OWASP Uruguay Chapter Co-Leader
@mauro_fcib
![Page 2: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/2.jpg)
Derechos de Autor y Licencia
Copyright © 2003 – 2011 Fundación OWASP
Este documento es publicado bajo la licencia Creative Commons Attribution ShareAlike 3.0.
Para cualquier reutilización o distribución, usted debe dejar en claro a otros los términos de la
licencia sobre este trabajo.
AppSec Latam ‘11 The OWASP Foundation http://www.owasp.org
![Page 3: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/3.jpg)
3
Motivación
PCI es un medio para acercar la OWASP a la industria
X OWASP tiene más de 200 proyectos
X Usabilidad de la Wiki
X Es difícil saber que materiales del OWASP pueden ser utilizados para la PCI
http://www.owasp.org
![Page 4: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/4.jpg)
4
Introducción
• Payment Card Industry (PCI) Data Security Standard (DSS)
• Ayudar a las organizaciones que utilizan tarjetas de crédito y debito a proteger los datos sensibles asociados a las cuentas de los clientes.
http://www.owasp.org
Objetivo
![Page 5: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/5.jpg)
5
Surge como síntesis de distintos programas que las marcas de tarjetas utilizaban para proteger la información:
http://www.owasp.org
Introducción
![Page 6: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/6.jpg)
6
Introducción
http://www.owasp.org
Contempla
• Requerimientos de gestión de la seguridad
• Políticas
• Procedimientos
• Arquitectura de red
• Diseño y desarrollo de software
• Medidas de protección a datos críticos
288 puntos organizados en 6 requerimientos
![Page 7: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/7.jpg)
7
Requerimientos
http://www.owasp.org
Mantener un política de
seguridad de la información
Desarrollar y mantener
una Red Segura
Proteger los datos del
titular de la tarjeta
Programa de administración
de vulnerabilidades
Implementar medidas
solidas de control de acceso
Supervisar y evaluar las
redes con regularidad
![Page 8: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/8.jpg)
8
Proyectos aplicables a la PCI
http://www.owasp.org
Comité de educación
• Lecciones de estudio disponibles 24/7
• Cursos on-line
Comunidad de Expertos dispuestos a evaluar dudas (Mailing List)
Proyectos aplicables a la PCI PCI
![Page 9: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/9.jpg)
9
Proyectos aplicables a la PCI
http://www.owasp.org
OWASP Backend Security Project
OWASP Backend Security Project (Hardening)
Incluye:
• Instalación
• Administración
• Cifrado
MySQL Hardening
PostgreSQL Hardening
Hardening de configuración SAP HTTP & WebServices
Oracle Hardening
SQL Server Hardening
DB2 Hardening
![Page 10: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/10.jpg)
10
Proyectos aplicables a la PCI
http://www.owasp.org
OWASP Backend Security Project
OWASP Backend Security Project (Testing)
Documentos
• DBMS Fingerprinting
• Testing Oracle
• Testing SQL Server
• Testing MySQL
• Testing PostgreSQL
• LDAP security testing
Herramientas
• SQL Ninja
• SQL Map
• OWASP SQLiX
• Scuba
• Squid SQL Injection Digger
• SQLDumper
• SQL Power Injector
• BobCat
![Page 11: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/11.jpg)
11
Proyectos aplicables a la PCI
http://www.owasp.org
Transport Layer Protection Cheat Sheet
Providing Transport Layer Protection with SSL/TLS
• Benefits
• SSL vs. TLS
• Secure Server Design
• Server Certificate & Protocol Configuration
• Client (Browser) Configuration
• Additional Controls
Providing Transport Layer Protection for Back End and Other Connections
![Page 12: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/12.jpg)
12
Proyectos aplicables a la PCI
http://www.owasp.org
Guía de Criptografía
Asegura que se usa la criptografía para proteger la seguridad de la integridad y confidencialidad de la información confidencial del usuario.
Usos
• Autenticación
• No Repudio
• Confidencialidad
• Integridad
Algoritmos Criptográficos
Almacenamiento de Claves
Transmisión segura de datos
Uso de tokens en los procesos de autenticación
Generación segura de UUID
![Page 13: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/13.jpg)
13
Proyectos aplicables a la PCI
http://www.owasp.org
CLASP (Comprehensive, Lightweight Application Security Process)
Concepts View(I)
Milestone: Understand how CLASP process
components interact and how to apply II through V.
Role-Based View (II)
Milestone: Create roles required by security-related
project and utilize them in III, IV and V
Activity-Implementation View (IV)
Milestone: Perform subset of 24 security-related
CLASP activities selected in III
Vulnerability View (V)
Milestone: Integrate solutions to problem types into III and IV
Activity-Assessment View (III)
Milestone: Assess 24 security-related CLASP activities for
suitability in IV
Implementation Costs
Activity Applicability
Risk of Inaction
Consequences
of unresolved Vulnerabilities
Problem Types 104 problems types are sub-sumed under 5 high-level Categories
Exposures Periods (by SDLC phases)
Risk Assessment
Avoidance & Mitigation Techniques
A & M Periods (by SDLC phases)
![Page 14: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/14.jpg)
14
Proyectos aplicables a la PCI
http://www.owasp.org
OWASP Secure Coding Practices – Quick Reference Guide Project
Contiene un mapeo general sobre practicas de desarrollo seguro de software. Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en garantizar la definición de adecuados requerimientos de seguridad, en lugar de la identificación de vulnerabilidades o ataques. Incluye una introducción a los principios de software de seguridad y un glosario de términos clave.
![Page 15: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/15.jpg)
15
Proyectos aplicables a la PCI
http://www.owasp.org
OWASP Guide Project
Inyecciones SQL
Manipulaciones de tarjetas de crédito
Ataques de Phishing
Fijación de sesiones
Cross-Site Request Forgeries
Cumplimiento y temas de privacidad
Permitir a empresas, desarrolladores, diseñadores y arquitectos generar aplicaciones web seguras.
Si se incorpora desde las primeras etapas, el costo de desarrollar aplicaciones seguras no diverge mucho del de desarrollar aplicaciones inseguras. Este proyecto genera su máxima rentabilidad en el largo plazo.
![Page 16: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/16.jpg)
16
Proyectos aplicables a la PCI
http://www.owasp.org
ESAPI (Enterprise Security API):
Existe un conjunto de interfaces de control de seguridad
Hay una implementación de referencia para cada control de seguridad
Se definen implementaciones propias para cada control de seguridad
Proyecto enfocado a los desarrolladores, permite crear aplicaciones de bajo nivel de riesgo.
Contiene bibliotecas que están diseñadas para facilitar la reconversión de la seguridad en las aplicaciones existentes. Contienen también sólidos fundamentos para nuevos desarrollos. Dentro de las diferentes versiones de ESAPI, se mantiene una estructura básica:
![Page 17: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/17.jpg)
17
Proyectos aplicables a la PCI
http://www.owasp.org
OWASP Backend Security Project
OWASP Backend Security Project (Development)
Incluyen:
• Ejemplos de códigos vulnerables
• Como prevenir las vulnerabilidades
• Detección de intrusos
JAVA Backend Security programming
PHP Backend Security programming
.Net Backend Security programming
![Page 18: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/18.jpg)
18
Proyectos aplicables a la PCI
http://www.owasp.org
Top 10:
Ranking de las 10 vulnerabilidades más críticas. Se detalla cada una de ella explicando donde se pueden encontrar, el impacto que estas pueden tener, maneras de mitigar la amenaza, etc.
![Page 19: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/19.jpg)
19
Proyectos aplicables a la PCI
http://www.owasp.org
OWASP Mobile Security Project
Ayudar a la comunidad a entender mejor los riesgos presentes en las aplicaciones móviles, y aprender a defenderse de ellos
For Security Testers
Secure Development Guidelines
Top Ten Mobile Risks
Top Ten Mobile Controls
GoatDroid Project: Es el equivalente para Android del proyecto iGoat
![Page 20: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/20.jpg)
20
Proyectos aplicables a la PCI
http://www.owasp.org
OWASP Code Review Guide
Contenido • Security Code Review in the SDLC
• Code review and PCI DSS
• Reviewing by technical control: Authentication, Authorization, Session Management, etc
• Metodología
• Crawling Code
• Revisiones de código y PCI
• Ejemplos por Técnica
• Ejemplos por Vulnerabilidad
• Buenas practicas para lenguajes específicos
• Ejemplos de informes
• Automatización de códigos
Herramientas: • Yasca Analisys Tool
• OWASP O2 Platform
• LAPSE+
![Page 21: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/21.jpg)
21
Proyectos aplicables a la PCI
http://www.owasp.org
ASVS (Application Security Verification Standard):
Estándar que proporciona una base para las pruebas de seguridad de las aplicaciones, que se invocan para proteger contra las vulnerabilidades como Cross-Site Scripting (XSS) y la inyección de SQL. Este estándar se puede utilizar para establecer un nivel de confianza en la seguridad de las aplicaciones Web.
Objetivos
• Utilizar como una métrica
• Usar como guía
• Uso durante la contratación
![Page 22: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/22.jpg)
Conclusiones
![Page 23: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/23.jpg)
23
Matriz de Proyectos vinculados
http://www.owasp.org
Desarrollar y mantener una red segura
Proteger los datos del titular de la tarjeta
Programa de administración de vulnerabilidades
Implementar medidas solidas de control de acceso
Supervisar y evaluar las redes con regularidad
Mantener una política de seguridad de la información
Backend Security Project (Hardening)
2.1 2.2 2.3
Backend Security Project (Testing)
1.2 2.1 2.3
6.2 6.5 6.6
Transport Layer Protection Cheat Sheet
1.1 2.3 4.1 4.2
6.6
Guía de Criptografía
2.3 3.4 4.1 3.6 4.2
6.5 8.3
CLASP 6.3 6.5
![Page 24: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/24.jpg)
24
Matriz de Proyectos vinculados
http://www.owasp.org
Desarrollar y mantener una red segura
Proteger los datos del titular de la tarjeta
Programa de administración de vulnerabilidades
Implementar medidas solidas de control de acceso
Supervisar y evaluar las redes con regularidad
Mantener una política de seguridad de la información
OWASP Sec. Coding Practice
6.5
OWASP Sec. Coding Practice
6.5
OWASP Guide Project
6.5
ESAPI 6.5 6.6
Backend Security Project (Development)
6.3 6.5
![Page 25: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/25.jpg)
25
Matriz de Proyectos vinculados
http://www.owasp.org
Desarrollar y mantener una red segura
Proteger los datos del titular de la tarjeta
Programa de administración de vulnerabilidades
Implementar medidas solidas de control de acceso
Supervisar y evaluar las redes con regularidad
Mantener una política de seguridad de la información
Top 10 6.1 6.2 6.6
11.3
Mobile Security Project
6.1 6.2 6.6
11.3
OWASP Code Review Guide
6.3 6.5 6.6
ASVS 6.6 11.3
![Page 26: ‘11 The OWASP Foundation Usando …€¦ · Utiliza un formato de checklist lo que permite de manera fácil integrarlo al ciclo de vida de desarrollo del proyecto. Se enfoca en](https://reader035.fdocuments.in/reader035/viewer/2022070916/5fb67052d48cc63dcd4498a9/html5/thumbnails/26.jpg)
¿Preguntas?