Después de versiones previas , ya ha sido publicada la versión final del OWASP Top 10 de este año 2017. Un documento que recopila las 10 vulnerabilidades más críticas en aplicaciones web.
Este año se han colado tres tipos nuevos de amenazas: XXE, Deserialización insegura y falta de monitorización y registros. La primera basado en datos reales, y las dos últimas por votación de la comunidad.
iGoat es un proyecto perteneciente a la fundación OWASP inspirado en WebGoat . Dicho proyecto contiene vulnerabilidades de forma intencionada y no es sólo para el investigador de seguridad, sino también para desarrolladores. Esto es, porque parte del ejercicio no sólo consta de atacar y comprometer la aplicación, sino que también está diseñado para (con comentarios en el código) arreglar las vulnarabilidades, así que puedes atacar, arreglar o ambos.
Se han publicado los vídeos de las charlas de OWASP Europe 2016 celebrada en Roma. La lista de las charlas publicadas es la siguiente:
Ya están disponibles los vídeos de la OWASP AppSec Europa 2015 celebrada en Amsterdam del 19 al 22 de mayo.
Ya están disponibles los vídeos (aunque no todos) de la conferencia OWASP AppSecEU 2014, celebrada en Cambridge entre el 23 y 26 de junio.
OWASP (Open Web Application Security Project), es bien conocido no sólo por toda la documentación que ofrecen en relación a la seguridad de aplicaciones web, sino también por su famosas listas de Top 10:
Otra de las remarcadas conferencias sobre seguridad informática, OWASP AppSecUSA 2013, fue celebrada en Nueva York del 18 al 21 de noviembre. Para los no privilegiados, aquí tenéis la lista de los vídeos (diapositivas con audio):
Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc.
Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.
El proyecto abierto sobre seguridad en aplicaciones web (OWASP), además de toda la magnífica información que podemos encontrar en su web, también tienen una tienda virtual en Lulu donde ofrecen libros sobre varios de sus proyectos.
Dichos libros, tienes la opción de bajártelo de forma totalmente gratuita o también puedes comprarlos de impresos a un precio bastante económico, una magnífica idea para apoyar a este proyecto.
Multillidae es otro de los proyectos con los que podemos jugar y afinar nuestras técnicas de penetración web. Es un proyecto multiplataforma escrito en PHP y que se puede instalar usando XAMPP. También está disponible en la distribución Samurai WTF
Este proyecto cubre todas las vulnerabilidades recogidas en el OWASP Top 10.
Puedes descargar el proyecto desde aquí.
Como extra, en youtube puedes encontrar un canal (@webpwnized) (desarrollador actual del proyecto) con gran cantidad de vídeo tutoriales sobre esta plataforma. También puedes acceder a dichos vídeos desde la web de irongeek (creador inicial de Mutillidae).
Todos o casi todos conocéis OWASP (Open Web Appication Security Project) y además muchos también conocéis WebGoat, una aplicación web escrita en J2EE con errores de seguridad específicos con la cual podemos afinar nuestras habilidades y/o herramientas.
Pues bien, ahora también tenemos owasp-goatdroid. Un entorno vulnerable escrito totalmente en Java. Actualmente se encuentra en versión beta y sólo disponemos de un servicio web RESTful totalmente funcional, así como una aplicación para probarlo. El servicio web correo sobre un servidor Jetty embebido, por lo tanto no necesitas instalar ningún servidor web. Eso sí, necesitarás MySQL, las SDK de Android y Eclipse.
El OWASP (Open Web Application Security Project) está publicando en Youtube una serie de vídeos dónde nos introducen los problemas de seguridad más conocidos, por su alta presencia en el mundo de las aplicaciones web.
Este es el canal en Youtube al cual te puedes suscribir, si no, no te preocupes que ya iremos os mantendremos informados desde Cyberhades.
Actualmente tienen 3 vídeos que os dejo a continuación:
Episodio 1: Introducción a la seguridad de aplicaciones
Ya están disponibles las presentaciones de la AppSec Europe 2011 celebrada entre el 7 y 10 de junio:
Visto en un tweet de SecurityByDefault