OWASP Mantra

31
Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org OWASP Awareness Day Maximiliano Soler OWASP Member @maxisoler Education Project

description

OWASP

Transcript of OWASP Mantra

Copyright 2007 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

OWASP Awareness Day

Maximiliano SolerOWASP Member

@maxisoler

Education Project

2OWASP

OWASP Mantra – Security Framework

Sobre mi

Maximiliano Soler trabaja como Analista de Seguridad, en un Banco Internacional. Ha descubierto vulnerabilidades en diferentes Aplicaciones Web y Sistemas Operativos.

Colabora en diferentes proyectos de código abierto y organismos internacionales. Es fanático de los estándares abiertos que son utilizados para realizar pruebas de intrusión, asegurar software y catalogar los diferentes tipos de ataques.

3OWASP

OWASP Mantra – Security Framework

Objetivo de la Charla

Dar a conocer el proyecto en forma general, para que cualquiera pueda utilizar esta herramienta en los diferentes escenarios propuestos.

Namaskar(saludo espiritual)

4OWASP

OWASP Mantra – Security Framework

Qué es Mantra?

Mantra es una colección de herramientas gratuitas y libres integradas en un Navegador Web.

El cual puede ser de gran utilidad para estudiantes, penetration testers, desarrolladores de aplicaciones Web, profesionales de la seguridad, etc.

5OWASP

OWASP Mantra – Security Framework

Qué significa Mantra?

Mantra (तन्त्र en devanagari) es una palabra de origen sánscrito, que está formada por los términos manaḥ y trāyate, que se traducen como mente y liberación.

Desde ese punto se dice que un mantra es:“un instrumento para liberar la mente del

flujo constante de pensamientos que la confunden.”

6OWASP

OWASP Mantra – Security Framework

Características

Libre y Abierto (Open Source Spirit).

Flexible.

Portable.

User-friendly.

Interfaz Gráfica.

Puede ser utilizado desde tarjetas de memoria, CD/DVDs,

etc.

Instalable en el sistema operativo en unos pocos minutos.

7OWASP

OWASP Mantra – Security Framework

Qué NO es Mantra?

No es una herramienta de “Pwnage”.

No soluciona una única necesidad en particular.

No reemplaza el típico navegador Web.

No está completamente integrado a otras

soluciones.

8OWASP

OWASP Mantra – Security Framework

Por qué?

Muchas extensiones disponibles oficiales y no

oficiales.

Analizar todas y cada una de las extensiones es

una tarea tediosa.

Muchas extensiones pasan desapercibidas.

Dar a conocer el Poder de la Plataforma del

Navegador.

9OWASP

OWASP Mantra – Security Framework

Cuándo utilizarlo?

Auditando Aplicaciones Web.

Realizando Pruebas de Intrusión.

Evaluación de Vulnerabilidades.

Capacitaciones.

10OWASP

OWASP Mantra – Security Framework

Etapas de Ataque

Mantra cubre las 5 etapas de Ataque, las cuales son:

Reconocimiento. Escaneo y Enumeración. Obtener el Acceso. Escalación de Privilegios. Mantener el Acceso y Cubrir las Huellas.

11OWASP

OWASP Mantra – Security Framework

Actualidad: OWASP + Mantra + FireCAT

Versión: Beta 0.61 Nombre: Gandiva. Tamaño: ~35 MB (“instalador”) Portable: ~150 MB. Basado en Firefox.

12OWASP

OWASP Mantra – Security Framework

Curiosidad: Gandiva

Es el arco de Áryuna (en inglés Arjuna), el héroe de la epopeya mitológica Mahábharata.

En la historia el Arco fue creado por Brahman, un Espíritu Supremo del hinduismo.

13OWASP

OWASP Mantra – Security Framework

Características Principales

AyudhaMantra contiene todo su set herramientas basado

en la estructura y lineamiento de FireCAT, el cual hace más fácil el orden.

HackeryMantra tiene una gran colección de favoritos

(bookmarks), que facilitan la búsqueda de información, el acceso a diferentes medios de comunicación y herramientas online.

14OWASP

OWASP Mantra – Security Framework

¿Qué es FireCAT?

Mantra contiene todo su set herramientas basado en la estructura y lineamiento de FireCAT, el cual hace más fácil el orden.

La idea de FireCAT, surgió durante una prueba de intrusión. Cuando fui desafiado a realizarlo, sin utilizar herramientas. De esta manera, Firefox con extensiones fue de gran ayuda. =)

15OWASP

OWASP Mantra – Security Framework

Details» Current Version: 1.6.2» Addons: > 80» Categories: 7» Subcategories: 18

FireCAT v1.6.2

16OWASP

OWASP Mantra – Security FrameworkSecurity Framework

Your Security Distro

Your Browser

17OWASP

OWASP Mantra – Security Framework

18OWASP

OWASP Mantra – Security Framework

19OWASP

OWASP Mantra – Security Framework

20OWASP

OWASP Mantra – Security Framework

Categorías

Information Gathering Whois Location Info Enumeration & Fingerprint Data Mining

Editors

Network Utilities Protocols & Applications Sniffers Passwords

21OWASP

OWASP Mantra – Security Framework

Categorías

Miscellaneous Tweaks & Hacks Malware Scanner Automation Others

Application Auditing

Proxy

22OWASP

OWASP Mantra – Security Framework

D E M O

23OWASP

OWASP Mantra – Security Framework

Resultado Final

p e r s o n a l i z a b l e

Flexible Portable User-Friendly

24OWASP

OWASP Mantra – Security Framework

Cómo contribuir?

Ser parte de la Comunidad (OWASP)

Crear o Modificar Extensiones / Framework.

Diseñando: Temas / Otros.

25OWASP

OWASP Mantra – Security Framework

Conclusiones

Mantra es flexible, puede ser adaptado a diferentes

escenarios.

Podemos tener nuestro navegador personalizado,

afilado como una navaja suiza.

Mantra no reemplaza otras herramientas o utilidades.

Mantra debe utilizarse como un complemento para

llevar a cabo pruebas de intrusión sobre aplicaciones

Web.

26OWASP

OWASP Mantra – Security Framework

Conclusiones

Desde el punto de vista del desarrollador, es una interesante plataforma desde la cual se pueden crear extensiones muy fácilmente. (Gracias Mozilla!)

Mantra puede ser utilizado por estudiantes y/o profesionales de la seguridad.

Creemos que cada desarrollador de extensiones es parte de nuestra comunidad de desarrollo.

27OWASP

OWASP Mantra – Security Framework

28OWASP

OWASP Mantra – Security Framework

Algunas posibles preguntas

¿Cuál es el Futuro? Fortalecer la plataforma y orientarlo 100% a un

Security Framework.

¿Otros navegadores? Si, posiblemente Chrome. (Muy Pronto!)

¿Problemas con los Addons? A veces, queremos desarrollar los propios para

poder adaptarlos de forma más sencilla a Mantra.

29OWASP

OWASP Mantra – Security Framework

Links

OWASP Mantrawww.owasp.org/index.php/OWASP_Mantra_-_Security_Framework

Mantrawww.getmantra.com

FireCATwww.firecat.fr

30OWASP

OWASP Mantra – Security Framework

Mantra en la Red

Foroswww.getmantra.com/forums

Twitterwww.twitter.com/getmantra

Facebookwww.facebook.com/getmantra

31OWASP

OWASP Mantra – Security Framework

dhanyawad !(gracias !)

Maximiliano Solere-Mail:Twitter: @maxisoler