OWASP Security Shepherd
OWASP Security Shepherd es una aplicación de entrenamiento en seguridad informática. Incluye más de 70 niveles que juntos abarcan un amplio espectro de tópicos Web y Mobile y es apto para gente que recién se inicia en seguridad ya que la dificultad de los niveles aumenta a un ritmo razonable. Este tipo de aplicaciones es fundamental para que aprendamos, mediante la práctica, a construir sistemas de Software más seguros sin comprometer a nadie en el camino.
Las instrucciones respecto a como descargarlo, instalarlo y configurarlo se pueden encontrar en su repositorio GitHub.
En este momento tengo una conexión a Internet con velocidad de descarga de 1KB/s así que, mientras descargo la VM con los ejercicios, les comento dos de los tópicos cubiertos por la aplicación y mejor explicados en el sitio oficial de OWASP Security Shepherd:
Inyección SQL
La inyección SQL, como cualquier tipo de flaw de inyección, ocurre cuando una aplicación puede enviar datos maliciosos a un determinado intérprete.
Estos defectos se encuentran también en tecnologías como LDAP, XPath, comandos del SO, XML, headers SMTP, argumentos a programas, consultas NoSQL, etc.
Son fáciles de detectar examinando el código y existen scanners que pueden ayudar en esa tarea.
La prevención consiste siempre es mantener separados los comandos y las consultas de aquellos datos que no son de confianza o no han sido tratados apropiadamente.
Gestión de autenticación y sesiones defectuosa
Es dificil construir esquemas de gestión de autenticación y sesiones correctamente. Por esta razón, los esquemas custom frecuentemente tienen problemas con el logout, la gestión de contraseñas, los timeouts, las preguntas secretas, etc. Encontrar estos defectos puede ser difícil dado de que, justamente, estas implementaciones son custom.
OWASP define un conjunto de requerimientos llamado ASVS (Application Security Verification Standard) para lograr controles fuertes para el manejo de las sesiones.
Eso es todo por hoy, en cuanto me descargue la VM podremos ir compartiendo ideas acerca de los desafíos particulares que nos encontremos en la aplicación.
Las instrucciones respecto a como descargarlo, instalarlo y configurarlo se pueden encontrar en su repositorio GitHub.
En este momento tengo una conexión a Internet con velocidad de descarga de 1KB/s así que, mientras descargo la VM con los ejercicios, les comento dos de los tópicos cubiertos por la aplicación y mejor explicados en el sitio oficial de OWASP Security Shepherd:
Inyección SQL
La inyección SQL, como cualquier tipo de flaw de inyección, ocurre cuando una aplicación puede enviar datos maliciosos a un determinado intérprete.
Estos defectos se encuentran también en tecnologías como LDAP, XPath, comandos del SO, XML, headers SMTP, argumentos a programas, consultas NoSQL, etc.
Son fáciles de detectar examinando el código y existen scanners que pueden ayudar en esa tarea.
La prevención consiste siempre es mantener separados los comandos y las consultas de aquellos datos que no son de confianza o no han sido tratados apropiadamente.
Gestión de autenticación y sesiones defectuosa
Es dificil construir esquemas de gestión de autenticación y sesiones correctamente. Por esta razón, los esquemas custom frecuentemente tienen problemas con el logout, la gestión de contraseñas, los timeouts, las preguntas secretas, etc. Encontrar estos defectos puede ser difícil dado de que, justamente, estas implementaciones son custom.
OWASP define un conjunto de requerimientos llamado ASVS (Application Security Verification Standard) para lograr controles fuertes para el manejo de las sesiones.
Eso es todo por hoy, en cuanto me descargue la VM podremos ir compartiendo ideas acerca de los desafíos particulares que nos encontremos en la aplicación.
Comentarios
Publicar un comentario