
Metodología del curso
Reconocimiento: Realizar un reconocimiento del sistema para conocer
Tecnologías que utiliza: versión de servidor, de base de datos, módulos del servidor de aplicaciones.
Librerías externas
Estructura del árbol de directorios
Peticiones con parámetros
Campos Hidden
Comentarios
Cual es el negocio del sistema
Descubrimiento de directorios
Análisis:
Análisis de peticiones y sus parámetros
Análisis de formularios y captchas
Análisis de comunicación cifrada entre cliente y servidor
Análisis de datos en la cookie
Análisis de la sesión del usuario
Análisis de recuperación de contraseñas
Análisis de registro al sistema
Análisis de API
Explotación:
Pruebas de inyección de html y javascript
Pruebas de inyección de sql
Pruebas de manipulación de lógica del sistema
Pruebas de autenticación y autorización
Pruebas de registro al sistema
Pruebas Bypass de subida de archivos
Pruebas de sesiones y peticiones POST a GET
Pruebas de inclusión de archivos locales o remotos
Pruebas de ejecución de comandos del sistema operativo
Post-Explotación:
Extracción de información del sistema
Subida y acceso a shell del sistema operativo
Inyección de código malicioso
Robo de sesiones y credenciales de acceso
Robo de credenciales de sistema operativo y cracking de password
OWASP Zap Proxy
Zapproxy es un sistema opensource completamente libre para la comunidad utilizado por desarrolladores, QA, Consultores, analistas y auditores en seguridad.
Algunas características
UI Deskop
API
Add-ons
Spiders
Ataques pasivos y activos
Políticas de escaneo
Scripting
Fuzzing
Zaproxy descargar: https://github.com/zaproxy/zaproxy/wiki/Downloads
Configuración de Zap con navegador
Tutorial: https://www.youtube.com/embed/jV4jZL2hy1Y
Docker Zap Proxy
docker pull owasp/zap2docker-stable
Referencia: https://github.com/zaproxy/zaproxy/wiki/Docker
API Zap
Habilitar la API de opciones y se accede http://localhost:8080/
Utilizar el API ZAP en Docker
docker
run -t owasp/zap2docker-stable
zap-api-scan.py -t https://www.example.com/openapi.json -f
openapi
Referencia: https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsApi
Baseline Scan Docker
Característica
Usa Docker
Tiempo limite del spider 1 min por defecto
Escaneos Pasivos
Security headers
Cookies
Error disclosure
CSRF
docker run -t owasp/zap2docker-stable zap-baseline.py -t https://www.example.com
Referencia: https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
Desktop UI sin JAVA
docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh http://localhost:8080/?anonym=true&app=ZAP
Referencia: https://github.com/zaproxy/zaproxy/wiki/WebSwing
Recursos
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Zap proxy
Que es el zapproxy?
Descargar ZapProxy: https://github.com/zaproxy/zaproxy/wiki/Downloads
Que es el contexto?
Configuramos el Proxy con el navegador: Proxy: 127.0.0.1 y puerto 8080
Opciones del Proxy
Plugins pasivos y activos
Alertas Pasivas y activas
Incluir en el contexto al sitio que queremos testear
Configurar las propiedades del contexto según la tecnología del sitio
Setear Seguimiento de la Cookie
Configurar tipos de escaneos
Realizar un Ataque el sitio realizando un:
Spider sobre el contexto
Browser Directory
Verificar Alertas
Ver en History las peticiones
Luego verificar las alertas y ver una por una si son Falsos Positivos y eliminarlas.
Este curso del OWASP Top 10 en aplicaciones .NET está focalizada en conocer los problemas de seguridad más comunes en aplicaciones web .NET. Se explicará en detalle cada uno de los riesgos de seguridad más comunes hoy en día, con prácticas reales en un laboratorio de entrenamiento y demostraciones.
El alumno podrá iniciarse el entrenamiento en base a la práctica y aventurarse por su cuenta en una dinámica de pruebas en un ambiente controlado de entrenamiento.
Se proponen en esta edición prácticas en modo ataque de entrenamiento y implementación de remediaciones para mitigar el problema, como también recomendaciones.
Las prácticas de entrenamiento se basan en sistema para entrenar la búsqueda de vulnerabilidades que permite explorar las consecuencias de dichas vulnerabilidades.
Se irá actualizando el curso a medida que aparezcan nuevas vulnerabilidades comunes del OWASP TOP TEN.
Es importante en el desarrollo de un sistema contemplar el área de seguridad desde el análisis y diseño del mismo, con el fin de mitigar el impacto de nuevas vulnerabilidades, cuando el sistema se encuentra en producción. Pero es necesario conocer las vulnerabilidades comunes que se encuentran hoy en día para entender como se producen, que variables contienen y como se mitigan para poder enfocarse a mejorar la seguridad de una aplicación desde el inicio de la idea del mismo.