OWASP - User contributions [en]

GSoC2015 Ideas

2015-02-26T15:52:37Z

Jcmax: Added WCSA proposal

=OWASP Project Requests=

'''Tips to get you started in no particular order:'''
* Read the [[GSoC SAT]]
* Check the Hackademic wiki page linked above
* Contact us through the mailing list or irc channel.
* Check our [https://github.com/Hackademic/hackademic github repository] and especially the [https://github.com/Hackademic/hackademic/issues open tickets]

== OWASP Hackademic Challenges ==

[[OWASP Hackademic Challenges Project]] helps you test your knowledge on web application security. You can use it to actually attack web applications in a realistic but also controllable and safe environment. After a wonderfull 2014 GSoC with 100 new challenges and a couple of new plugins we're mainly looking to get new features in and maybe a couple of challenges. Bellow is a list of proposed features.

=== Web Sandbox ===

'''Brief Explanation:'''

After a very successfull OWASP Winter Code Sprint we have a brand new Sandbox feature which uses Linux Containers to create virtual space for each user. So we can host properly vulnerable challenges and maybe execute some code server side. However, the sandbox is not fully complete, we need many features here and there to make it easily deployable and improve it's administration.

Ideas on the project:

* Simple sandbox administration frontend for the web. -- An admin console to start and kill sandboxes manually and to list the status and resources used by each one.
* Secure the implementation -- Now we have a functioning prototype, we know that Linux Containers are quite safe but we haven't explicitly tested our configuration and use of them.
* Your idea here...

'''Expected Results:'''

Better sandboxing

'''Knowledge Prerequisites:'''

Comfortable in Linux administration and some security knowledge depending on the specific project.

'''Mentors:''' Konstantinos Papapanagiotou, Spyros Gasteratos - Hackademic Challenges Project Leaders

=== Source Code testing environment - Defensive Challenges ===

'''Brief Explanation:'''

Existing challenges are based on a dynamic application testing concept. We would like to work on a project that will give the capability to the attacker to review a vulnerable piece of source code, make corrections and see the result in a realistic (but yet safe) runtime environment. The code can either be run if needed or tested for correctness and security. The implementation challenges of such a project can be numerous, including creating a realistic but also secure environment, testing submitted solutions and grading them in an automatic manner. At the same time there are now numerous sites that support submitting code and then simulate or implement a compiler's functionality.

'''Expected Results:'''

A source code testing and improvement environment where a user will be able to review, improve and test the result of a piece of source code.

'''Knowledge Prerequisites:'''

Comfortable in PHP, HTML. Good understanding of Application Security, source code analysis and related vulnerabilities.

'''Mentors:''' Konstantinos Papapanagiotou, Spyros Gasteratos - Hackademic Challenges Project Leaders

=== Student performance analytics ===

'''Brief Explanation:'''

We need a better way to measure the student's performance and how it varies depending on the problem. You will write a plugin (or make changes to the core depending on your implementation proposal) to gather all sorts of performance data and present them in a meaningfull way.

'''Expected Results:'''

A page to view performance metrics of differenct students.
( Hackalytics )

'''Knowledge Prerequisites:'''

Comfortable in PHP, HTML, javascript. Some understanding of analytics.

'''Mentors:''' Konstantinos Papapanagiotou, Spyros Gasteratos - Hackademic Challenges Project Leaders

=== New Template ===

'''Brief Explanation:'''

We need a cool new template since the old one is getting pretty old.
You can do it using the latest frontend bells and whistles (like angular,bootstrap or the tools of your choice).

'''Expected Results:'''

A new template.

'''Knowledge Prerequisites:'''

Comfortable in Css, HTML, javascript and/or the tools you plan on using.

'''Mentors:''' Konstantinos Papapanagiotou, Spyros Gasteratos - Hackademic Challenges Project Leaders

=== Gamification ===

'''Brief Explanation:'''

Gamification is a feature widely used in many learning platforms out there and it would be nice if we could have it too.
You will need to design and implement the awards, badges and whatever other feature you have in mind. You will also implement the front and backend changes necessary to present the results.

'''Expected Results:'''

Gamification of the platform. ( Hackademicification )

'''Knowledge Prerequisites:'''

Comfortable in Css, HTML, javascript and/or the tools you plan on using.

'''Mentors:''' Konstantinos Papapanagiotou, Spyros Gasteratos - Hackademic Challenges Project Leaders

=== Your idea ===

'''Brief Explanation:'''

Hackademic is it's community, we always welcome new ideas and cool features. Come over to the irc channel or mailing list and propose something.
We'd be happy to help you get it done.

'''Expected Results:'''

Features we didn't know we needed. ;-)

'''Knowledge Prerequisites:'''

Comfortable in whatever tools and languages you plan on using.

'''Mentors:''' Konstantinos Papapanagiotou, Spyros Gasteratos - Hackademic Challenges Project Leaders

== OWASP WebGoat .NET - Vulnerable Website ==

'''Brief Explanation:'''

The actual WebGoat .NET is a vulnerable website built in ASP.NET using C#. There are some challenges already built in but we would like to add more vulnerable features
https://www.owasp.org/index.php/Category:OWASP_WebGoat.NET#tab=Overview

'''Expected Results:'''

We want to add more modules such as
*WebSockets
*CSRF challenge
*Finalise testing an upgrade to the .NET framework 4.5
*Retest and clean up actual modules

'''Knowledge Prerequisites:'''

Comfortable in .NET, HTML and C#. Good understanding of Application Security, source code analysis and related vulnerabilities.

'''Mentors:''' Johanna Curiel, Jerry Hoff - OWASP WebGoat Project Leaders

==OWASP WebGoatPHP==
===OWASP WebGoatPHP===
'''Description:'''
[[Webgoat]] is a deliberately insecure open source software made by OWASP using Java programming language. It has a set of challenges and steps, each providing the user with one or more web application vulnerability which user tries to solve. There are also hints and auto-detection of correct solutions.
Since Java is not the most common web application programming language, and it doesn't have many of the bugs other languages such as PHP have when it comes to security, OWASP has [[OWASP_WebGoat_Reboot2012|dedicated in 2012]] an amount of $5000 for promotion of WebGoatPHP.

If you want to know more about WebGoatPHP, I suggest downloading and giving WebGoat a try. It is one of OWASP prides (about 200000 downloads).

'''Expected Results:''' WebGoatPHP first version is ready, it needs thorough testing and delivery. It also needs new challenges added and a CTF hosted on it.

'''Knowledge prerequisite:''' You just need to know PHP and SQL. Familiarity with web application security is recommended.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]]

==OWASP PureCaptcha==
===OWASP PureCaptcha===
'''Description:'''
[[OWASP PureCaptcha]] is an OWASP project aiming to simplify CAPTCHA usage. Instead of proving rigorous APIs and many dependencies, it is a single source code file (library) that does not depend on anything and generates secure and fast CAPTCHAs, with little memory and processor footprint.
PureCaptcha is currently released for PHP. The candidate will port this to several other programming languages (priority on web languages) and provide full test coverage.

'''Expected Results:''' PureCaptcha library for at least 3 new programming languages. Unit testing for the core version. A study on security of the generated captcha can also be performed.

'''Knowledge prerequisites:''' Any programming language you want to port into, as well as PHP.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]], Jesse Burns

==OWASP PHP Framework==
===OWASP PHP Framework===

'''Description:'''
OWASP PHP Security project plans to gather around secure PHP libraries, and provide a full featured framework of libraries for secure web applications in PHP, both as separate de-coupled libraries and as a whole secure web application framework. Many aspects of this project are already handled, and are being added to OWASP.
The project has been done in the last two years, and now a framework has been built upon these libraries and security best practices. The framework intends to merge security practices with practical frameworks, and aims to be simple and lightweight.

'''Expected Results: ''' A secure yet robust and practical framework for PHP developers.

'''Knowledge prerequisite:''' This project requires at least one year of experience working with different PHP projects and frameworks. It will be too hard for someone with average PHP experience.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]], Rahul Chaudhary

'''Skill Level:''' Advanced

==OWASP RBAC Project==
===OWASP RBAC Project===
'''Description:''' ''For the last 7 years, improper access control has been the issue behind two of the Top Ten lists''.

RBAC stands for Role Based Access Control and is the de-facto access control and authorization standard. It simplifies access control and its maintenance for small and enterprise systems alike. NIST RBAC standard has four levels, the second level hierarchical RBAC is intended for this project.

Unfortunately because of many performance and development problems, no suitable RBAC implementation was available until recently, so developers and admins mostly used ACLs and other forms of simple access control methods, which leads to broken and unmaintainable access control over the time.

[[OWASP RBAC project]] has already implemented this, has a wide audience and has released several minor and two major versions. Many new features and modifications are expected by the community behind this.

'''Expected Results:''' OWASP RBAC project more mature by porting from PHP to other programming languages, OR adding new features and testing on the PHP version.

'''Knowledge prerequisite:''' Good SQL knowledge, library development skills, familiarity with one of the programming languages as well as PHP. We recommend average experience and high skills.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]], Rahul Chaudhary, Jesse Burns

'''Skill Level:''' Advanced

For more info, visit [http://phprbac.net phprbac.net]

==OWASP PHP Widgets==
===OWASP PHP Widgets===
'''Description:''' Pull MVC (widget-based web views) has been available for many years on all major web programming languages, and even for Javascript. PHP on the other hand, lacks these and suffers a lot from forcing push MVC on its developers. There are a few libraries around, not secure and not mature at all. Providing a robust set of widgets for PHP developers not only smoothes web development process, it automatically mitigates a lot of web attacks that are based on user inputs to forms and other web elements (e.g CSRF, SQL Injection, XSS).

'''Expected Results:''' OWASP PHP Widgets is currently in beta, and the candidate will spend time testing the functionalities, providing test coverage, adding new widgets and features, and building a user community.

'''Knowledge prerequisite:''' Average PHP programming. Good experience with web applications.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]]

==OWASP Seraphimdroid==

'''Description:''' SeraphimDroid is educational application for android devices that helps users learn about risks and threats coming from other android applications. SeraphimDroid scans your devices and teaches you about risks and threats coming from application permissions. Also this project will deliver paper on android permissions, their regular use, risks and malicious use. In second version SeraphimDroid will evolve to application firewall for android devices not allowing malicious SMS or MMS to be sent, USSD codes to be executed or calls to be called without user permission and knowledge.

'''Expected Results:''' After last year's GSoC first version of project was released on Google play. However, educational component, setting check, potential android widgets are still missing and would be beneficial. Also, malicious behavior prevention mechanisms should be added and some bugs should be fixed.

'''Knowledge prerequisite:''' Average Android and JAVA programming. Knowledge of XML and SQLite Good experience with mobile applications.

'''Mentor:''' [[User:Nikola Milosevic|Nikola Milosevic]]

== OWASP OWTF ==

=== OWASP OWTF - VMS - OWTF Vulnerability Management System ===

'''Brief explanation:'''

Background problem to solve:

We are trying to reduce the human work burden where there will be hundreds of issues listing apache out of date or php out of date.

Proposed solution:

We can meta aggregate these duplicate issues into one issue of "outdated software / apache / php detected". with XYZ list of issues in them.

A separate set of scripts that allows for grouping and management of vulnerabilities (i.e. think huge assessments), to be usable *both* from inside + outside of OWTF in a separate sub-repo here: https://github.com/owtf

VMS will have the following features:
* Vulnerability correlation engine which will allow for quick identification of unique vulnerability and deduplication.
* Vulnerability table optimization : combining redundant vulnerabilities like example : PHP <5.1 , PHP < 5.2 , PHP < 5.3 all suggest upgrade php so if multiple issues are reported they should be combined.
* Integration with existing bug tracking system like example bugzilla, jira : Should not be too hard as all such system have one or the other method exposed (REST API or similar)
* Fix Validation : Since we integrate with bug tracking once dev fixed the bug and code deployed we can run specific checks via * OWTF or other tool (may be specific nessus or nexpose plugin or similar.)
* Management Dashboard : Could be exposed to Pentester, Higher Management where stats are shown with lesser details but more of high level overview.

[http://www.slideshare.net/null0x00/nessus-and-reporting-karma Similar previous work for Nessus]

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* CRITICAL: Excellent reliability -i.e. the Health Monitor cannot crash! :)-
* Good performance
* Unit tests / Functional tests
* Good documentation

'''Knowledge Prerequisite:'''

Python and bash experience would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

=== OWASP OWTF - HTTP Request Translator Improvements ===

'''Brief explanation:'''

Problem to solve:

There are many situations in web app pentests where just no tool will do the job and you need to script something, or mess around with the command line (classic example: sequence of steps where each step requires input from the previous step). In these situations, translating an HTTP request or a sequence of HTTP requests, takes valuable time which the pentester might just not really have.

Proposed solution:

An HTTP request translator, a *standalone* *tool* that can:

1) Be used from inside OR outside of OWTF.

2) Translate raw HTTP requests into curl commands or bash/python/php/ruby/PowerShell scripts

3) Provide essential quick and dirty transforms: base64 (encode/decode), urlencode (encode/decode)
* Transforms with boundary strings? (TBD)
* Individually or in bulk? (TBD)

'''Essential Function: "--output" argument'''

CRITICAL: The command/script should be generated so that the request is sent as literally as possible.

Example: NO client specific headers are sent. IF the original request had "User-Agent: X", the generated command/script should have EXACTLY that (i.e. NOT a curl user agent, etc.). Obviously, the same applies to ALL other headers.

NOTE: Ideally the following should be implemented using an extensible plugin architecture (i.e. NEW plugins are EASY to add)
* http request in => curl command out
* http request in => bash script out
* http request in => python script out
* http request in => php script out
* http request in => ruby script out
* http request in => PowerShell script out

'''Basic additional arguments:'''

- "--proxy" argument: generates the command/script with the relevant proxy option

NOTE: With this the command/script may send requests through a MiTM proxy (i.e. OWTF, ZAP, Burp, etc.)

- "--string-search" argument: generates the command/script so that it:

1) performs the request

2) then searches for something in the response (i.e. literal match)

- "--regex-search" argument: generates the command/script so that it:
1) performs the request

2) then searches for something in the response (i.e. regex match)

'''OWTF integration'''

The idea here, is to invoke this tool from:

1) Single HTTP transactions:

For example, have a button to "export http request" + then show options equivalent to the flags

2) Multiple HTTP transactions:

Same as with Single transactions, but letting the user "select a number of transactions" first (maybe a checkbox?).

'''Desired input formats:'''

* Read raw HTTP request from stdin -Suggested default behaviour! :)-

Example: cat path/to/http_request.txt | http-request-translator.py --output

* Interactive mode: read raw HTTP request from keyboard + "hit enter when ready"

Suggestion: This could be a "-i" (for "interactive") flag and/or the fallback option when "stdin is empty"

Example:

1) User runs tool with desired flags (i.e. "--output ruby --proxy 127.0.0.1:1234 ...", etc.)

2) Tool prints: "Please paste a raw HTTP request and hit enter when ready"

3) User pastes a raw HTTP requests + hits enter

4) Tool outputs whatever is relevant for the flags + http request given

* For bulk processing: Maybe a directory of raw http request files?

'''Nice to have: Transforms'''

In the context of translating raw HTTP requests into commands/scripts, what we want here is to provide some handy "macros" so that the relevant command/script is generated accordingly.

Example:

NOTE: Assume something like the following arguments: "--transform-boundary=@@@@@@@ --transform-language=php"

Step 1) The user provides a raw HTTP request like this:

GET /path/to/urlencode@@@@@@@abc d@@@@@@@/test
Host: target.com
...

Step 2) The tool generates a bash script like the following:

#!/bin/bash

PARAM1=$(echo 'abc d' | php -r "echo urlencode(fgets(STDIN));")
curl ...... "http://target.com/path/to/$PARAM1/test"

OR a "curl command" like the following:
PARAM1=$(echo 'abc d' | php -r "echo urlencode(fgets(STDIN));"); curl ...... "http://target.com/path/to/$PARAM1/test"

This feature can be valuable to shave a bit more time in script writing.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* CRITICAL: Excellent reliability -i.e. the Health Monitor cannot crash! :)-
* Good performance
* Unit tests / Functional tests
* Good documentation

'''Knowledge Prerequisite:'''

Python and bash experience would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

=== OWASP OWTF - JavaScript Library Sniper Improvements ===

'''Brief explanation:'''
This is a project that tries to resolve a very common problem during penetration tests:

The customer is running a number of outdated JavaScript Libraries, but there is just not enough time to determine if something useful -i.e. something *really* bad! :)- can be done with that or not.

To solve this problem, we propose a *standalone* *tool* that can:

1) Be run BOTH from inside AND outside of OWTF

2) Build and *update* a fingerprint JavaScript library database of:
* Library File hashes => JavaScript Library version
* Library File lengths => JavaScript Library version
* (Nice to have:) As above, but for each individual github commit (possible drawback: too big?)

3) Build and *update* a vulnerability database of:
* JavaScript Library version => CVE - CVSS score - Vulnerability info

4) Given a [ JavaScript file OR hash OR length ], found in the database, provides:
* JavaScript Library version
* List of vulnerabilities sorted in descending CVSS score order

5) (very cool to have) Given a list of JavaScript files (maybe a directory), provides:
* ALL Library/vulnerability matches described on 4)

Once the standalone tool is built and verified to be working, OWTF should be able to:

Feature 1) GREP plugin improvement (Web Application Fingerprint):

Step 1) Lookup file lengths and hashes in the "JavaScript library database"

Step 2) If a match is found: provide the list of known vulnerabilities against "JavaScript library X" to the user

Feature 2) SEMI-PASSIVE plugin improvement (Web Application Fingerprint):

1) Requests all referenced BUT missing JavaScript files -i.e. scanners won't load JavaScript files! :)-

2) re-runs the GREP plugin on the new files (i.e. to avoid missing vulns due to unrequested JavaScript files)

Potential projects worth having a look for potential overlap/inspiration:
* [https://owasp.org/index.php/OWASP_Dependency_Check OWASP Dependency Check?]

How many JavaScript libraries should be included?
* As many as possible, but especially the major ones: jQuery, knockout, etc.
* "Nirvana" Nice to have: ALL Individual versions of ALL JavaScript files from ALL opensource projects, (ideally) even if the project is not a JavaScript library -i.e. JavaScript files from Joomla, Wordpress, etc.-

Common JavaScript library fingerprinting techniques include:
* Parse the JavaScript file and grab the version from there
* Determine the JavaScript version based on a hash of the file
* Determine the JavaScript version based on the length of the file

Other Challenges:
* "the file" could be "the minimised file", "the expanded file" or even "a specific JavaScript file from Library X"
* When the JavaScript file does not match a specific version:
1) The commit that matches the closest should (ideally) be found
2) The NEXT library version after that commit (if present) should be found
3) From there, it is about reusing the knowledge to figure out public vulnerabilities, CVSS scores, etc. again

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* CRITICAL: Excellent reliability -i.e. the Health Monitor cannot crash! :)-
* Good performance
* Unit tests / Functional tests
* Good documentation

'''Knowledge Prerequisite:'''

Python and bash experience would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

=== OWASP OWTF - Off-line HTTP traffic uploader ===

'''Brief explanation:'''

Although it is awesome that OWTF runs a lot of tools on behalf of the user, there are situations where uploading the HTTP traffic of another tool off-line can be very interesting for OWTF, for example:

* Tools that OWTF has trouble proxying right now: skipfish, hoppy
* Tools that the user may have run manually OR even from a tool aggregator -very common! :)-
* Tools that we just don't run from OWTF: ZAP, Burp, Fiddler

This project is about implementing an off-line utility able to parse HTTP traffic:

1) Figure out how to read output files from various tools like:
skipfish, hoppy, w3af, arachni, etc.
Nice to have: ZAP database, Burp database

2) Translate that into the following clearly defined fields:

* HTTP request
* HTTP response status code
* HTTP response headers
* HTTP response body

3) IMPORTANT: Implement a plugin-based uploader system

4) IMPORTANT: Implement ONE plugin, that uploads that into the OWTF database

5) IMPORTANT: OWTF should ideally be able to invoke the uploader right after running a tool
Example: OWTF runs skipfish, skipfish finishes, OWTF runs the HTTP traffic uploader, all skipfish data is pushed to the OWTF DB.

6) CRITICAL: The off-line HTTP traffic uploader should be smart enough to read + push 1-by-1 instead of *stupidly* trying to load everything into memory first, you have been warned! :)

Why? Because in a huge assessment, the output of "tool X" can be "10 GB", which is *stupid* to load into memory, this is OWTF, we *really* try to foresee the crash before it happens! ;)

CRITICAL: It is important to implement a plugin-based uploader system, so that other projects can benefit from this work (i.e. to be able to import third-party tool data to ZAP, Burp, and other tools in a similar fashion), and hence hopefully join us in maintaining this project moving forward.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* CRITICAL: Excellent reliability -i.e. the Health Monitor cannot crash! :)-
* Good performance
* Unit tests / Functional tests
* Good documentation

'''Knowledge Prerequisite:'''

Python and bash experience would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

=== OWASP OWTF - Health Monitor ===

'''Brief explanation:'''

In some cases, especially on large assessments (think: > 30 URLs) a number of things often go wrong and OWTF needs to recover from everything, which is difficult.

For this reason, OWTF needs an independent module, which is completely detached from OWTF (a different process), to ensure the health of the assessment is in check at all times, this includes the following:

'''Feature 1) Alerting mechanisms'''

When any of the monitor alerts (see below) is triggered. The OWTF user will be notified immediately through ALL of the following means:
* Playing an mp3 song (both local and possibly remote locations)
* Scan status overview on the CLI
* Scan status overview on the GUI

NOTE: A configuration file from where the user can enable/disable/configure all these mechanisms is desired.

'''Feature 2) Corrective mechanisms'''

Corrective mechanisms are also expected in this project, these will be accomplished sending OWTF api messages such as:
* Stop this tool
* Freeze this process (to continue later)
* Freeze the whole scan (to continue later)

Additional mechanisms:
* Show a ranking of files that take the most space

'''Feature 3) Target monitor'''

Brief overview:

All target URLs are checked for availability periodically (i.e. once x 5 minutes?), if a URL in scope goes down the pentester is alerted (see above).

Potential approach: Check if length of 1st page changes every 60 seconds.

NOTE: It might be needed to change this on the fly.

More background

Consider the following scenario:

Current Situation aka "problem to solve":

1) Website X goes down during a scan

2) the customer notices

3) the customer tells the boss

4) the boss tells the pentester

5) the pentester stops the tool which was *still* trying to scan THAT target (!!!!)

Desired situation aka "solution":

It would be much more professional AND efficient that:

1) The pentester notices

2) The pentester tells the boss

3) The boss tells the customer

4) OWTF stops the tool because it knows that website is DEAD anyway

A target monitor could easily do this with heartbeat requests + playing mp3s

The target monitor will use the api to tell OWTF "this target is dead: freeze(stop?) current tests, skip target in future tests"

'''Feature 4) Disk space monitor'''

Another problem that is relatively common in large assessments, is that all disk space is used and the scanning box becomes unresponsive or crashes. When this happens it is too late, the pentester may also see this coming but wonder “which are the biggest files in the filesystem that I can delete”, it is not ideal to have to look for these files in a moment when the scanning box is about to crash :).

Proposed solution:

Regularly monitor how much disk space is left, especially on the partition where OWTF is writing the review (but also tool directories such as /home/username/.w3af/tmp, etc.). Keep track of files created by OWTF and all called tools and sort them by size in descending order. Then when the disk space is going low (i.e. predefined threshold), an mp3 or similar is played and this list is displayed to the user, so that they know what to delete to survive :).

'''Feature 5) Network/Internet Connectivity monitor'''

Sometimes it may also happen that ISP, etc. connectivity go down in the middle of a scan, this is often a very unfortunate situation since most tools are scanning in parallel and they won’t be able to produce a report OR even resume (i.e. A LOT is lost). The goal here is that OWTF does all of the following automatically:

1) Detects the lack of connectivity

2) Freezes all the tools (read: processes) in progress

3) Resumes the scan when the connectivity is back.

'''Feature 6) Tool crash detection'''

Sometimes, certain tools (most notably, ahem, w3af), when they crash they do NOT exit. This leaves OWTF in a difficult position where 1+ process is waiting for nothing, forever (i.e. because “Tool X” will never finish)

'''Feature 7) Tool (Plugin?) CPU/RAM/Bandwidth abuse detection and correction'''

OWTF needs to notice when some tools crash and/or “go beserk” with RAM/CPU/Bandwidth consumption, this is different from the existing built-in checks in OWTF like “do not launch a new tool if there is less than XYZ RAM free” and more like “if tool X is using > XYZ of the available RAM/CPU/Bandwidth” and this is (potentially) negatively affecting other tools/tests, then throttle it.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* CRITICAL: Excellent reliability -i.e. the Health Monitor cannot crash! :)-
* Good performance
* Unit tests / Functional tests
* Good documentation

'''Knowledge Prerequisite:'''

Python and bash experience would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

=== OWASP OWTF - Installation Improvements and Package manager ===

'''Brief explanation:'''

This project is to implement what was suggested in the following github issue:
[https://github.com/owtf/owtf/issues/192 https://github.com/owtf/owtf/issues/192]

Recently i tried to make a fresh installation of OWTF. The installation process takes too much time. Is there any way to make the installation faster?
Having a private server with:
* pre-installed files for VMs
* pre-configured and patched tools
* Merged Lists
* Pre-configured certificates
Additionally a minimal installation which will install the core of OWTF with the option of update can increase the installation speed. The update procedure will start fetching the latest file versions from the server and copy them to the right path.
Additional ideas are welcome.

-- They could be hosted on Dropbox or a private VPS :)

2 Installation Modes
* For high speed connections (Downloading the files uncompressed)
* For low speed connections (Downloading the files compressed)
and the installation crashed because i runned out of space in the vm
IMPORTANT NOTE: OWTF should check the available disk space BEFORE installation starts + warn the user if problems are likely

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* Excellent reliability (i.e. proper exception handling, etc.)
* Good performance
* Unit tests / Functional tests
* Good documentation

'''Knowledge Prerequisite:'''

Python and bash experience would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

=== OWASP OWTF - Testing Framework Improvements ===

'''Brief explanation:'''

As OWASP OWTF grows it makes sense to build custom unit tests to automatically re-test that functionality has not been broken. In this project we would like to improve the existing unit testing framework so that creating OWASP OWTF unit tests is as simple as possible and all missing tests for new functionality are created. The goal of this project is to update the existing Unit Test Framework to create all missing tests as well as improve the existing ones to verify OWASP OWTF functionality in an automated fashion.

'''Top features'''

In this improvement phase, the Testing Framework should:
* (Top Prio) Focus more on functional tests
For example: Improve coverage of OWASP Testing Guide, PTES, etc. (lots of room for improvement there!)
* (Top Prio) Put together a great wiki documentation section for contributors
The goal here is to help contributors write tests for the functionality that they implement. This should be as easy as possible.
* (Top Prio) Fix the current Travis issues :)
* (Nice to have) Bring the unit tests up to speed with the codebase
This will be challenging but very worth trying after top priorities.
The wiki should be heavily updated so that contributors create their own unit tests easily moving forward.

'''General background'''

The Unit Test Framework should be able to:
* Define test categories: For example, "all plugins", "web plugins", "aux plugins", "test framework core", etc. (please see [http://www.slideshare.net/abrahamaranguren/introducing-owasp-owtf-workshop-brucon-2012 this presentation] for more background)
* Allow to regression test isolated plugins (i.e. "only test _this_ plugin")
* Allow to regression test by test categories (i.e. "test only web plugins")
* Allow to regression test everything (i.e. plugins + framework core: "test all")
* Produce meaningful statistics and easy to navigate logs to identify which tests failed and ideally also hints on how to potentially fix the problem where possible
* Allow for easy creation of _new_ unit tests specific to OWASP OWTF
* Allow for easy modification and maintenance of _existing_ unit tests specific to OWASP OWTF
* Perform well so that we can run as many tests as possible in a given period of time
* Potentially leverage the python unittest library: [http://docs.python.org/2/library/unittest.html http://docs.python.org/2/library/unittest.html]

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* Performant and automated regression testing
* Unit tests for a wide coverage of OWASP OWTF, ideally leveraging the Unit Test Framework where possible
* Good documentation

'''Knowledge Prerequisite:'''

Python, experience with unit tests and automated regression testing would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

=== OWASP OWTF - Tool utilities module ===

'''WARNING: This idea is taken from the 1st round of OWCS selections (Sept. 15th), please do NOT apply'''

'''Brief explanation:'''

The spirit of this feature is something that may or may not be used from OWTF: These are utilities that may be chained together by OWTF OR a penetration tester using the command line. The idea is to automate mundane tasks that take time but may provide a lever to a penetration tester short on time.

'''Feature 1) Vulnerable software version database:'''

Implement a searchable vulnerable software version database so that a penetration tester enters a version and gets vulnerabilities sorted by criticality with MAX Impact vulnerabilities at the top (possibly: CVSS score in DESC order).

Example:
[http://www.cvedetails.com/vulnerability-list.php?vendor_id=74&product_id=128&version_id=149817&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order=3&trc=17&sha=0d26af6f3ba8ea20af18d089df40c252ea09b711 Vulnerabilities against specific software version]

'''Feature 2) Nmap output file merger:'''

Unify nmap files *without* losing data: XML, text and greppable formats
For example: Sometimes 2 scans pass through the same port, one returns the server version, the other does not, we obviously do not want to lose banner information :).

'''Feature 3) Nmap output file vulnerability mapper'''

From an nmap output file, get the unique software version banners, and provide a list of (maybe in tabs?):

1) CVEs in reverse order of CVSS score, with links.

2) Metasploit modules available for each CVE / issue

NOTE: Can supply an *old* shell script for reference

3) Servers/ports affected (i.e. all server / port combinations using that software version)

'''Feature 4) URL target list creator:'''

Turn all “speaks http” ports (from any nmap format) into a list of URL targets for OWTF

'''Feature 5) Hydra command creator:'''

nmap file in => Hydra command list out

grep http auth / login pages in output files to identify login interfaces => Hydra command list out

'''Feature 6) WP-scan command creator:'''

look at all URLs (i.e. nmap file), check if they might be running word press, generate a list of suggested wp-scan commands for all targets that might be running word press

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* '''IMPORTANT: [http://legacy.python.org/dev/peps/pep-0008/ PEP-8 compliant code] in all modified code and surrounding areas.'''
* '''IMPORTANT: [https://github.com/7a/owtf/wiki/Contributor%27s-README OWTF contributor README compliant code]'''
* '''IMPORTANT: [http://sphinx-doc.org/ Sphinx-friendly python comments] [http://owtf.github.io/ptp/_modules/ptp/tools/w3af/parser.html#W3AFXMLParser example Sphinx-friendly python comments here]'''
* Excellent reliability (i.e. proper exception handling, etc.)
* Good performance
* Unit tests / Functional tests
* Good documentation

'''Knowledge Prerequisite:'''

Python, experience with unit tests and automated regression testing would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''OWASP OWTF Mentor:'''

Abraham Aranguren - OWASP OWTF Project Leader - Contact: Abraham.Aranguren@owasp.org

== OWASP ZAP ==

We are in the process of deciding the set of ZAP projects for Google Summer of Code 2015.

You can follow (and join in) the discussions on the ZAP Developer Group: https://groups.google.com/d/msg/zaproxy-develop/Uy0JPkzsI_s/Bj7OTSkISCIJ

=== Advanced Plug-able Report Module ===

Currently ZAP provides only a limited set of report data. While this can be extended dynamically this feature is not currently used, and there is no way for users to choose what data they get back. It also provides a set of API calls, some of which return data that could be incorporated into reports, and some of which allow the fixed report to be accessed.

==== Expected Results ====

* Report data will be a distinct type of data returned via API calls
* An add-on that provides report data - so this becomes 'plug-able'
* Report data and meta data should be fully internationalized
* Users can specify which sites / contexts report data should apply to

==== Knowledge Prerequisite: ====
ZAP is written in Java, so a good knowledge of this language is recommended, as is knowledge of HTML. Some knowledge of application security would be useful, but not essential.

==== Mentors ====
Johanna Curiel [johanna.curiel [at] owasp.org and Simon Bennetts

== OWASP Testing Guide ==

=== OTG Web Testing Tool Integration ===
'''Brief explanation:'''

We would like the OWASP Testing Guide to be much more easily consumable by web testing tools (such as ZAP). This would require adjustments to the Testing Guide, or separate Testing with X Guides, to explain how testing is completed with given tools. The tools would of course need to be changed to make full use of OTG and this project could include such changes to OWASP tools like ZAP.

'''Expected outputs:'''

Amended OTG or Testing with X Guides. Either option would require the document to integrate with all web testing tools (Using ZAP as the baseline).
Optional ZAP changes or add-on to make better use of the OTGs

'''Knowledge required:'''

Writing skills

'''OTG Web Testing Tool Integration mentor:'''

Andrew Muller - OTG Project Co-Leader - Contact: Andrew.muller@owasp.org

== OWASP AppSensor ==

[[OWASP AppSensor Project]] provides real-time application layer intrusion detection. The software has recently hit v2.0. We have some ambitious plans across a variety of areas for the next year to build on the recent momentum.

* Check the AppSensor wiki page linked above
* Contact us through the mailing list.
* Check our [https://github.com/jtmelton/appsensor github repository] and the [https://github.com/jtmelton/appsensor/issues open tickets]
* Also see our [http://www.appsensor.org appsensor website]

=== Enterprise Integrations - Reporting ===

'''Brief Explanation:'''

This is a feature request that's been driven by the community. AppSensor provides great utility by allowing applications to defend themselves. AppSensor can/will also provide a UI (another possible GSOC project) to view and manage the information produced by the applications. However, larger organizations often already have a system in place for managing system security alerts. It would provide a lot of value if we can integrate with those systems and data formats. This project will involve a bit of up-front research, then primarily systems integration work.

'''Expected Results:'''

We want to support a number of integrations. Some that have been requested by our community are:
* SNMP
* JMX
* SCOM
* syslog
* CEF
* AppDynamics

Source code and associated tests for these integrations will be created, along with the associated end user documentation for how to setup and configure them.

'''Knowledge Prerequisites:'''

Comfortable in Java and unit testing.

'''Mentors:''' John Melton - OWASP AppSensor Project Leader (Development)

=== Enterprise Integrations - Transport ===

'''Brief Explanation:'''

AppSensor currently supports a number of "execution modes", which are simply a reference to the transport protocol (REST, SOAP, thrift). There are a number of protocols that are popular in enterprises that we don't currently support, but could. This would simplify integration for many organizations who already use a set of approved communication protocols. This project would be primarily integration work and testing with a number of well-known systems integration / transport protocols and mechanisms.

'''Expected Results:'''

We want to support a number of integrations. Some that have been proposed are:
* Kafka
* RabbitMQ
* ActiveMQ
* Avro
* Protobuf

Source code and associated tests for these integrations will be created, along with the associated end user documentation for how to setup and configure them.

'''Knowledge Prerequisites:'''

Comfortable in Java and unit testing. Some familiarity with distributed systems in general and message brokers in particular would be helpful.

'''Mentors:''' John Melton - OWASP AppSensor Project Leader (Development)

=== Dashboard UI ===

'''Brief Explanation:'''

AppSensor provides a solid base of functionality to applications, but does not currently do a good job of presenting the resulting data. We are attacking that issue on 2 fronts. We plan to create a custom UI (this project) as well as various integrations to standard tools/formats for reporting to existing display systems. This project will involve creating the default/standard UI for the AppSensor project. As part of the project, you will learn about the domain model, iterating your mockup designs and share those with the project leader(s) and the community for feedback. We don't have an existing product, so you will have lots of responsibility for the design and implementation, as well as significant input to the decision around the technology stack.

'''Expected Results:'''

A modern, usable UI will be built that will have at least the following features (though there are many more features to build) :
* Basic Dashboard UI (the UI for the OPS wall)
* Search
* Policy Management (edit server configuration)

Source code and associated tests for the UI will be created, along with the associated end user documentation for how to setup and configure the system.

'''Knowledge Prerequisites:'''

Comfortable with UI design and development, particularly building dashboards. Comfortable with Java (with some assistance). Basic familiarity with security concepts related to intrusion detection and prevention as this is the basic domain.

'''Mentors:''' John Melton - OWASP AppSensor Project Leader (Development)

=== Trend Monitoring Analysis Engine ===

'''Brief Explanation:'''

AppSensor currently supports a basic policy-driven analysis engine to determine if a series of events represents an attack (if a user triggers 5 of this type of event in 10 minutes, it's an attack). While this supports many use cases, there are times when it would be helpful to know trending information. If a particular function of the application begins to see 10 times its normal amount of traffic, that might represent an attack. This project would add an additional analysis engine to support "trend monitoring". Development of this feature would require some initial research on alternative implementation strategies, followed by the development and testing of the feature in AppSensor.

'''Expected Results:'''

The project should produce:
* A trend monitoring analysis engine to be used either in place of or in addition to the existing policy-driven analysis engine
* Associated configuration mechanism to specify the trending rules/policy
* A small full sample demo application showing usage of the trend monitoring feature

Source code and associated tests for the feature will be created, along with the associated end user documentation for how to setup and configure it.

'''Knowledge Prerequisites:'''

Comfortable in Java and unit testing.

'''Mentors:''' John Melton - OWASP AppSensor Project Leader (Development)

== OWASP Passfault ==

=== Passfault for Linux ===

'''Brief Explanation:'''

[[OWASP Passfault]] has the potential to be the best password policy available. However, it's only available to java developers. This effort will make Passfault available to every Linux administrator. It would offer an alternative to the pam module libcrack to measure password complexity.

'''Expected Results:'''

When complete an administrator should be able to do the following:
* Enforce password complexity for all password changes with OWASP Passfault (for example when passwd is called)
* Adjust password complexity threshold
* (stretch goal) Install Passfault via package management: apt, yum, rpm, deb, etc.

'''Knowledge Prerequisites:'''
* Bash scripting
* Linux administration

'''Mentors:'''
* [[User:Cam_Morris|Cam Morris]] - OWASP Passfault Project Leader (Development)
* John Jolly - Linux Kernel Engineer for SUSE Linux on IBM System z Mainframes (Development)

=== Passfault for Javascript via GWT ===

'''Brief Explanation:'''

[[OWASP Passfault]] has the potential to be the best password policy available. However, it's only available to java developers. This effort will make OWASP Passfault available as a javascript library. The javascript library will be generated by GWT and made consumable by GWT Exporter. The really cool result of this project will be that passwords can be analyzed client-side, and it will be easy for any web-page to use it.

'''Expected Results:'''
* GWT compiled Javascript derived from the OWASP Passfault core code
* javascript accessible APIs exported by GWT Exporter
* javascript bootstrap code to load wordlists
* scripted build with the excellent Gradle build tool
* (Stretch goal) Wrap everything up in a JQuery Plugin

'''Knowledge Prerequisites:'''
* Javascript
* Java
* (Nice to know) Gradle
* (Nice to know) JQuery
* (Nice to know) GWT

'''Mentors:''' [[User:Cam_Morris|Cam Morris]] - OWASP Passfault Project Leader (Development)

== Web.config Security Analyzer v1.0 =>.NET Framework Config Security Analyzer v1.0 ==

'''Brief Explanation:'''

[https://code.google.com/p/wcsa/ OWASP WCSA] is a very helpful tool to analyze proper security settings on ASP.NET applications. This tool [http://www.troyhunt.com/2011/03/continuous-webconfig-security-analysis.html once quoted by Troy Hunt], has important limitations such as rules support limited to single elements, a single condition, and just equals comparison. e.g. "Debug" attribute in "Compilation" Element should be "false".

The tool requires a rules update (and potentially a UI refresh) to bring up many of the new security settings on .NET Framework 4.x to the tool including web service bindings and many others. Limitations described will not allow verification of web services bindings where you can have multiple elements named the same, one for each binding, and depending of a binding type the value (even if absent) is secure or not.

Additionally, since conf files in .NET are pretty much universal to all framework application types and with the upgrade of IIS metabase to XML format for IIS 7.0 and 7.5, the tool could now be used for securing desktop applications and IIS 7.x servers.

The proposal is then to empower the tool by creating XML based rules and using XQuery to overcome all the limitations of the current version and allowing support for new rules in a familiar language that would support multiple cases which can then be applied to all of the config files for .NET framework seamlessly.

'''Expected Results:'''
* Support for duplicated elements and multiple conditions
* Support for easily created custom rules via XQuery
* Updated rules for 4.0 and 4.5 frameworks
* Support for stand alone app.config files
* New Rules for IIS 7.x Web Server

'''Knowledge Prerequisites:'''
* C# programming
* Basic XQuery knowledge
* (Nice to know) Advanced Web.config knowledge
* (Nice to know) IIS 7.x configuration knowledge

'''Mentors:''' [[User:jcmax|Juan C Calderon]] (Development)

Acknowledgements/es

2014-10-13T13:15:32Z

Jcmax: redirect to spanish page

#REDIRECT [[Agradecimientos]]

Uso de las Extensiones Criptográficas de Java

2013-09-16T04:13:33Z

Jcmax: Adición de ejemplos de código

==Contenido==

# Nota:
# Descripción general
## Algoritmos de cifrado simétrico proporcionados por SunJCE
## Modos de cifrado
## Algoritmos de cifrado asimétricos implementadas por SunJCE
## hashing / Message Digest algoritmos implementados por SunJCE
# Ejemplos
## Seguridad Randómica
## AES de cifrado y descifrado
## DES cifrado y descifrado

==Nota:==

El código incluido en este artículo no ha sido revisado y no se debe utilizar sin un análisis adecuado. Si ha revisado el código incluido (o partes de ellos), por favor enviar sus conclusiones a esta página o a: stephen [at] corsaire.com.

==Descripción General==

Extensiones Criptográficas Java (JCE) es un conjunto de API’s de Java, que proporciona servicios criptográficos como el cifrado, la generación de claves secretas, código de autenticación de mensajes y el Acuerdo clave. Los sistemas de cifrado soportados por JCE incluyen simetría, asimetría, bloque y cifrado de flujos. JCE fue un paquete opcional para JDK v 1.2.x y 1.3.x. JCE ha sido integrado en JDK v1.4.

JCE API’s se implementan los proveedores de servicios criptográficos. Cada uno de estos proveedores de servicios criptográficos implementa la interfaz del proveedor de servicio que especifican las funcionalidades que deben ser implementadas por los proveedores de servicios. Los programadores pueden obtener los plugin de cualquier proveedor de servicios para la realización de funcionalidades criptográficas proporcionadas por JCE. J2SE viene con un proveedor predeterminado, llamado SunJCE.

===Algoritmos simétricos de cifrado proporcionadas por SunJCE===

# DES - KeyLength predeterminado de 56 bits (longitud)
# AES
# RC2, RC4 y RC5
# IDEA
# Triple DES - KeyLength por defecto 112 bits
# Blowfish - KeyLength defecto 56 bits
# PBE con MD5 y DES
# PBE con HmacSHA1 y DESede
# DES ede

===Modos de Encriptación===

# BCE
# CBC
# CFB
# OFB
# PCBC

===Algoritmos de cifrado asimétricos implementados por SunJCE===

# RSA
# Diffie-Hellman - KeyLength defecto 1024 bits

===Hashing / Message Digest algoritmos implementados por SunJCE===

# MD5 - por defecto 64 bytes de tamaño
# SHA1 - por defecto 64 bytes de tamaño

==Ejemplos==
===SecureRandom===
La calse SecureRandom esa usada para generar pseudo números criptográficamente aleatorios al usar el algoritmo PRNG.

Las siguientes son las ventajas de utilizar SecureRandom en ves de Random:
1. SecureRandom produce un generador de números aleatorios criptográficamente fuerte.
2. SecureRandom produce secuencias critográficamente fuertes como se describe en las
[http://www.ietf.org/rfc/rfc1750.txt RFC 1750: Recomendaciones de aleatoriedad para seguridad (En inglés)]

<pre>
package org.owasp.java.crypto;

import java.security.SecureRandom;
import java.security.NoSuchAlgorithmException;

import sun.misc.BASE64Encoder;

/**
* @author Joe Prasanna Kumar
* This program provides the functionality for Generating a Secure Random Number.
*
* There are 2 ways to generate a Random number through SecureRandom.
* 1. By calling nextBytes method to generate Random Bytes
* 2. Using setSeed(byte[]) to reseed a Random object
*
*/

public class SecureRandomGen {

/**
* @param args
*/
public static void main(String[] args) {
try {
// Initialize a secure random number generator
SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");

// Method 1 - Calling nextBytes method to generate Random Bytes
byte[] bytes = new byte[512];
secureRandom.nextBytes(bytes);

// Printing the SecureRandom number by calling secureRandom.nextDouble()
System.out.println(" Secure Random # generated by calling nextBytes() is " + secureRandom.nextDouble());

// Method 2 - Using setSeed(byte[]) to reseed a Random object
int seedByteCount = 10;
byte[] seed = secureRandom.generateSeed(seedByteCount);

// TBR System.out.println(" Seed value is " + new BASE64Encoder().encode(seed));

secureRandom.setSeed(seed);

System.out.println(" Secure Random # generated using setSeed(byte[]) is " + secureRandom.nextDouble());

} catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}
}

}
</pre>

=== Cifrado y Decifrado AES ===
<pre>
package org.owasp.java.crypto;

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.Cipher;

import java.security.NoSuchAlgorithmException;
import java.security.InvalidKeyException;
import java.security.InvalidAlgorithmParameterException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.BadPaddingException;
import javax.crypto.IllegalBlockSizeException;

import sun.misc.BASE64Encoder;

/**
* @author Joe Prasanna Kumar
* This program provides the following cryptographic functionalities
* 1. Encryption using AES
* 2. Decryption using AES
*
* High Level Algorithm :
* 1. Generate a DES key (specify the Key size during this phase)
* 2. Create the Cipher
* 3. To Encrypt : Initialize the Cipher for Encryption
* 4. To Decrypt : Initialize the Cipher for Decryption
*
*
*/

public class AES {
public static void main(String[] args) {

String strDataToEncrypt = new String();
String strCipherText = new String();
String strDecryptedText = new String();

try{
/**
* Step 1. Generate an AES key using KeyGenerator
* Initialize the keysize to 128
*
*/
KeyGenerator keyGen = KeyGenerator.getInstance("AES");
keyGen.init(128);
SecretKey secretKey = keyGen.generateKey();

/**
* Step2. Create a Cipher by specifying the following parameters
* a. Algorithm name - here it is AES
*/

Cipher aesCipher = Cipher.getInstance("AES");

/**
* Step 3. Initialize the Cipher for Encryption
*/

aesCipher.init(Cipher.ENCRYPT_MODE,secretKey);

/**
* Step 4. Encrypt the Data
* 1. Declare / Initialize the Data. Here the data is of type String
* 2. Convert the Input Text to Bytes
* 3. Encrypt the bytes using doFinal method
*/
strDataToEncrypt = "Hello World of Encryption using AES ";
byte[] byteDataToEncrypt = strDataToEncrypt.getBytes();
byte[] byteCipherText = aesCipher.doFinal(byteDataToEncrypt);
strCipherText = new BASE64Encoder().encode(byteCipherText);
System.out.println("Cipher Text generated using AES is " +strCipherText);

/**
* Step 5. Decrypt the Data
* 1. Initialize the Cipher for Decryption
* 2. Decrypt the cipher bytes using doFinal method
*/
aesCipher.init(Cipher.DECRYPT_MODE,secretKey,aesCipher.getParameters());
byte[] byteDecryptedText = aesCipher.doFinal(byteCipherText);
strDecryptedText = new String(byteDecryptedText);
System.out.println(" Decrypted Text message is " +strDecryptedText);
}

catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}

catch (NoSuchPaddingException noSuchPad)
{
System.out.println(" No Such Padding exists " + noSuchPad);
}

catch (InvalidKeyException invalidKey)
{
System.out.println(" Invalid Key " + invalidKey);
}

catch (BadPaddingException badPadding)
{
System.out.println(" Bad Padding " + badPadding);
}

catch (IllegalBlockSizeException illegalBlockSize)
{
System.out.println(" Illegal Block Size " + illegalBlockSize);
}

catch (InvalidAlgorithmParameterException invalidParam)
{
System.out.println(" Invalid Parameter " + invalidParam);
}
}

}
</pre>
=== Cifrado y Decifrado DES ===
<pre>
package org.owasp.crypto;

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.Cipher;

import java.security.NoSuchAlgorithmException;
import java.security.InvalidKeyException;
import java.security.InvalidAlgorithmParameterException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.BadPaddingException;
import javax.crypto.IllegalBlockSizeException;

import sun.misc.BASE64Encoder;

/**
* @author Joe Prasanna Kumar
* This program provides the following cryptographic functionalities
* 1. Encryption using DES
* 2. Decryption using DES
*
* The following modes of DES encryption are supported by SUNJce provider
* 1. ECB (Electronic code Book) - Every plaintext block is encrypted separately
* 2. CBC (Cipher Block Chaining) - Every plaintext block is XORed with the previous ciphertext block
* 3. PCBC (Propogating Cipher Block Chaining) -
* 4. CFB (Cipher Feedback Mode) - The previous ciphertext block is encrypted and this enciphered block is XORed with the plaintext block to produce the corresponding ciphertext block
* 5. OFB (Output Feedback Mode) -
*
* High Level Algorithm :
* 1. Generate a DES key
* 2. Create the Cipher (Specify the Mode and Padding)
* 3. To Encrypt : Initialize the Cipher for Encryption
* 4. To Decrypt : Initialize the Cipher for Decryption
*
* Need for Padding :
* Block ciphers operates on data blocks on fixed size n.
* Since the data to be encrypted might not always be a multiple of n, the remainder of the bits are padded.
* PKCS#5 Padding is what will be used in this program
*
*/

public class DES {
public static void main(String[] args) {

String strDataToEncrypt = new String();
String strCipherText = new String();
String strDecryptedText = new String();

try{
/**
* Step 1. Generate a DES key using KeyGenerator
*
*/
KeyGenerator keyGen = KeyGenerator.getInstance("DES");
SecretKey secretKey = keyGen.generateKey();

/**
* Step2. Create a Cipher by specifying the following parameters
* a. Algorithm name - here it is DES
* b. Mode - here it is CBC
* c. Padding - PKCS5Padding
*/

Cipher desCipher = Cipher.getInstance("DES/CBC/PKCS5Padding");

/**
* Step 3. Initialize the Cipher for Encryption
*/

desCipher.init(Cipher.ENCRYPT_MODE,secretKey);

/**
* Step 4. Encrypt the Data
* 1. Declare / Initialize the Data. Here the data is of type String
* 2. Convert the Input Text to Bytes
* 3. Encrypt the bytes using doFinal method
*/
strDataToEncrypt = "Hello World of Encryption using DES ";
byte[] byteDataToEncrypt = strDataToEncrypt.getBytes();
byte[] byteCipherText = desCipher.doFinal(byteDataToEncrypt);
strCipherText = new BASE64Encoder().encode(byteCipherText);
System.out.println("Cipher Text generated using DES with CBC mode and PKCS5 Padding is " +strCipherText);

/**
* Step 5. Decrypt the Data
* 1. Initialize the Cipher for Decryption
* 2. Decrypt the cipher bytes using doFinal method
*/
desCipher.init(Cipher.DECRYPT_MODE,secretKey,desCipher.getParameters());
//desCipher.init(Cipher.DECRYPT_MODE,secretKey);
byte[] byteDecryptedText = desCipher.doFinal(byteCipherText);
strDecryptedText = new String(byteDecryptedText);
System.out.println(" Decrypted Text message is " +strDecryptedText);
}

catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}

catch (NoSuchPaddingException noSuchPad)
{
System.out.println(" No Such Padding exists " + noSuchPad);
}

catch (InvalidKeyException invalidKey)
{
System.out.println(" Invalid Key " + invalidKey);
}

catch (BadPaddingException badPadding)
{
System.out.println(" Bad Padding " + badPadding);
}

catch (IllegalBlockSizeException illegalBlockSize)
{
System.out.println(" Illegal Block Size " + illegalBlockSize);
}

catch (InvalidAlgorithmParameterException invalidParam)
{
System.out.println(" Invalid Parameter " + invalidParam);
}
}

}
</pre>

==Detalles de Traducción==
#POR ABALCO DAVID Y CASTRO WILSON
#ESCUELA POLITÉCNICA NACIONAL
#APLICACIONES EN AMBIENTES LIBRES
#TUTOR: TITO ARMAS
#15/11/2012
#QUITO-ECUADOR
#Con la colaboración de Juan Carlos Calderón (Ejemplos de código)

Uso de las Extensiones Criptográficas de Java

2013-09-16T04:04:20Z

Jcmax: version inicial

Using the Java Cryptographic Extensions/es

2013-09-16T04:04:06Z

Jcmax: version inicial

#REDIRECT [[Uso de las Extensiones Criptográficas de Java]]

Using the Java Cryptographic Extensions

2013-09-16T04:03:25Z

Jcmax: moved Spanish content to its own page

==Note:==
''The code included in this article has not been reviewed and should not be used without proper analysis. If you have reviewed the included code (or portions of it), please post your findings back to this page or to: stephen [at] corsaire.com.''

== Overview ==
Java Cryptographic Extensions (JCE) is a set of Java API's which provides cryptographic services such as encryption, secret Key Generation, Message Authentication code and Key Agreement. The ciphers supported by JCE include symmetric, asymmetric, block and stream ciphers. JCE was an optional package to JDK v 1.2.x and 1.3.x. JCE has been integrated into JDK v1.4. 

JCE API's are implemented by Cryptographic Service Providers. Each of these cryptographic service providers implements the Service Provider Interface which specifies the functionalities which needs to be implemented by the service providers. Programmers can plugin any Service Providers for performing cryptographic functionalities provided by JCE. J2SE comes with a default provider named SunJCE.

===Symmetric Encryption Algorithms provided by SunJCE===
# DES - default keylength of 56 bits
# AES -
# RC2, RC4 and RC5
# IDEA
# Triple DES – default keylength 112 bits
# Blowfish – default keylength 56 bits
# PBEWithMD5AndDES
# PBEWithHmacSHA1AndDESede
# DES ede

===Modes of Encryption===
# ECB
# CBC
# CFB
# OFB
# PCBC

===Asymmetric Encryption Algorithms implemented by SunJCE===
# RSA
# Diffie-Hellman – default keylength 1024 bits

===Hashing / Message Digest Algorithms implemented by SunJCE===
# MD5 – default size 64 bytes
# SHA1 - default size 64 bytes

==Examples==
===SecureRandom===
SecureRandom class is used to generate a cryptographically strong pseudo random number by using a PRNG Algorithm.
The following are the advantages of using SecureRandom over Random.
1. SecureRandom produces a cryptographically strong pseudo random number generator.
2. SecureRandom produces cryptographically strong sequences as described in
[http://www.ietf.org/rfc/rfc1750.txt RFC 1750: Randomness Recommendations for Security]

<pre>
package org.owasp.java.crypto;

import java.security.SecureRandom;
import java.security.NoSuchAlgorithmException;

import sun.misc.BASE64Encoder;

/**
* @author Joe Prasanna Kumar
* This program provides the functionality for Generating a Secure Random Number.
*
* There are 2 ways to generate a Random number through SecureRandom.
* 1. By calling nextBytes method to generate Random Bytes
* 2. Using setSeed(byte[]) to reseed a Random object
*
*/

public class SecureRandomGen {

/**
* @param args
*/
public static void main(String[] args) {
try {
// Initialize a secure random number generator
SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");

// Method 1 - Calling nextBytes method to generate Random Bytes
byte[] bytes = new byte[512];
secureRandom.nextBytes(bytes);

// Printing the SecureRandom number by calling secureRandom.nextDouble()
System.out.println(" Secure Random # generated by calling nextBytes() is " + secureRandom.nextDouble());

// Method 2 - Using setSeed(byte[]) to reseed a Random object
int seedByteCount = 10;
byte[] seed = secureRandom.generateSeed(seedByteCount);

// TBR System.out.println(" Seed value is " + new BASE64Encoder().encode(seed));

secureRandom.setSeed(seed);

System.out.println(" Secure Random # generated using setSeed(byte[]) is " + secureRandom.nextDouble());

} catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}
}

}
</pre>

=== AES Encryption and Decryption ===
<pre>
package org.owasp.java.crypto;

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.Cipher;

import java.security.NoSuchAlgorithmException;
import java.security.InvalidKeyException;
import java.security.InvalidAlgorithmParameterException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.BadPaddingException;
import javax.crypto.IllegalBlockSizeException;

import sun.misc.BASE64Encoder;

/**
* @author Joe Prasanna Kumar
* This program provides the following cryptographic functionalities
* 1. Encryption using AES
* 2. Decryption using AES
*
* High Level Algorithm :
* 1. Generate a DES key (specify the Key size during this phase)
* 2. Create the Cipher
* 3. To Encrypt : Initialize the Cipher for Encryption
* 4. To Decrypt : Initialize the Cipher for Decryption
*
*
*/

public class AES {
public static void main(String[] args) {

String strDataToEncrypt = new String();
String strCipherText = new String();
String strDecryptedText = new String();

try{
/**
* Step 1. Generate an AES key using KeyGenerator
* Initialize the keysize to 128
*
*/
KeyGenerator keyGen = KeyGenerator.getInstance("AES");
keyGen.init(128);
SecretKey secretKey = keyGen.generateKey();

/**
* Step2. Create a Cipher by specifying the following parameters
* a. Algorithm name - here it is AES
*/

Cipher aesCipher = Cipher.getInstance("AES");

/**
* Step 3. Initialize the Cipher for Encryption
*/

aesCipher.init(Cipher.ENCRYPT_MODE,secretKey);

/**
* Step 4. Encrypt the Data
* 1. Declare / Initialize the Data. Here the data is of type String
* 2. Convert the Input Text to Bytes
* 3. Encrypt the bytes using doFinal method
*/
strDataToEncrypt = "Hello World of Encryption using AES ";
byte[] byteDataToEncrypt = strDataToEncrypt.getBytes();
byte[] byteCipherText = aesCipher.doFinal(byteDataToEncrypt);
strCipherText = new BASE64Encoder().encode(byteCipherText);
System.out.println("Cipher Text generated using AES is " +strCipherText);

/**
* Step 5. Decrypt the Data
* 1. Initialize the Cipher for Decryption
* 2. Decrypt the cipher bytes using doFinal method
*/
aesCipher.init(Cipher.DECRYPT_MODE,secretKey,aesCipher.getParameters());
byte[] byteDecryptedText = aesCipher.doFinal(byteCipherText);
strDecryptedText = new String(byteDecryptedText);
System.out.println(" Decrypted Text message is " +strDecryptedText);
}

catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}

catch (NoSuchPaddingException noSuchPad)
{
System.out.println(" No Such Padding exists " + noSuchPad);
}

catch (InvalidKeyException invalidKey)
{
System.out.println(" Invalid Key " + invalidKey);
}

catch (BadPaddingException badPadding)
{
System.out.println(" Bad Padding " + badPadding);
}

catch (IllegalBlockSizeException illegalBlockSize)
{
System.out.println(" Illegal Block Size " + illegalBlockSize);
}

catch (InvalidAlgorithmParameterException invalidParam)
{
System.out.println(" Invalid Parameter " + invalidParam);
}
}

}
</pre>
=== Des Encryption and Decryption ===
<pre>
package org.owasp.crypto;

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.Cipher;

import java.security.NoSuchAlgorithmException;
import java.security.InvalidKeyException;
import java.security.InvalidAlgorithmParameterException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.BadPaddingException;
import javax.crypto.IllegalBlockSizeException;

import sun.misc.BASE64Encoder;

/**
* @author Joe Prasanna Kumar
* This program provides the following cryptographic functionalities
* 1. Encryption using DES
* 2. Decryption using DES
*
* The following modes of DES encryption are supported by SUNJce provider
* 1. ECB (Electronic code Book) - Every plaintext block is encrypted separately
* 2. CBC (Cipher Block Chaining) - Every plaintext block is XORed with the previous ciphertext block
* 3. PCBC (Propogating Cipher Block Chaining) -
* 4. CFB (Cipher Feedback Mode) - The previous ciphertext block is encrypted and this enciphered block is XORed with the plaintext block to produce the corresponding ciphertext block
* 5. OFB (Output Feedback Mode) -
*
* High Level Algorithm :
* 1. Generate a DES key
* 2. Create the Cipher (Specify the Mode and Padding)
* 3. To Encrypt : Initialize the Cipher for Encryption
* 4. To Decrypt : Initialize the Cipher for Decryption
*
* Need for Padding :
* Block ciphers operates on data blocks on fixed size n.
* Since the data to be encrypted might not always be a multiple of n, the remainder of the bits are padded.
* PKCS#5 Padding is what will be used in this program
*
*/

public class DES {
public static void main(String[] args) {

String strDataToEncrypt = new String();
String strCipherText = new String();
String strDecryptedText = new String();

try{
/**
* Step 1. Generate a DES key using KeyGenerator
*
*/
KeyGenerator keyGen = KeyGenerator.getInstance("DES");
SecretKey secretKey = keyGen.generateKey();

/**
* Step2. Create a Cipher by specifying the following parameters
* a. Algorithm name - here it is DES
* b. Mode - here it is CBC
* c. Padding - PKCS5Padding
*/

Cipher desCipher = Cipher.getInstance("DES/CBC/PKCS5Padding");

/**
* Step 3. Initialize the Cipher for Encryption
*/

desCipher.init(Cipher.ENCRYPT_MODE,secretKey);

/**
* Step 4. Encrypt the Data
* 1. Declare / Initialize the Data. Here the data is of type String
* 2. Convert the Input Text to Bytes
* 3. Encrypt the bytes using doFinal method
*/
strDataToEncrypt = "Hello World of Encryption using DES ";
byte[] byteDataToEncrypt = strDataToEncrypt.getBytes();
byte[] byteCipherText = desCipher.doFinal(byteDataToEncrypt);
strCipherText = new BASE64Encoder().encode(byteCipherText);
System.out.println("Cipher Text generated using DES with CBC mode and PKCS5 Padding is " +strCipherText);

/**
* Step 5. Decrypt the Data
* 1. Initialize the Cipher for Decryption
* 2. Decrypt the cipher bytes using doFinal method
*/
desCipher.init(Cipher.DECRYPT_MODE,secretKey,desCipher.getParameters());
//desCipher.init(Cipher.DECRYPT_MODE,secretKey);
byte[] byteDecryptedText = desCipher.doFinal(byteCipherText);
strDecryptedText = new String(byteDecryptedText);
System.out.println(" Decrypted Text message is " +strDecryptedText);
}

catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}

catch (NoSuchPaddingException noSuchPad)
{
System.out.println(" No Such Padding exists " + noSuchPad);
}

catch (InvalidKeyException invalidKey)
{
System.out.println(" Invalid Key " + invalidKey);
}

catch (BadPaddingException badPadding)
{
System.out.println(" Bad Padding " + badPadding);
}

catch (IllegalBlockSizeException illegalBlockSize)
{
System.out.println(" Illegal Block Size " + illegalBlockSize);
}

catch (InvalidAlgorithmParameterException invalidParam)
{
System.out.println(" Invalid Parameter " + invalidParam);
}
}

}
</pre>
[[Category:OWASP Java Project]]

Captchas en Java

2013-09-16T03:59:57Z

Jcmax: Version inicial

===Descripción===
CAPTCHA son de las siglas de "Prueba de Turing pública y automática para diferenciar máquinas y humanos". Un CAPTCHA típicamente toma la forma de una imagen que contiene letras distorsionadas y / o números, se utiliza a menudo en los sitios web, donde es importante para determinar si el usuario es una persona real o un programa de ordenador. CAPTCHA tienen algunos inconvenientes, como la falta de accesibilidad para los discapacitados visuales, el uso intensivo de la CPU, y posibles técnicas de elusión. En muchos casos, sin embargo, CAPTCHA puede ayudar a mitigar ciertos tipos de ataques lanzados por individuos maliciosos que utilizan herramientas automatizadas. Como mínimo se puede subir la complejidad lo suficiente como para disuadir a un atacante casual.

====JCaptcha====
[http://forge.octo.com/jcaptcha/confluence/display/general/Home JCaptcha] es una implementación Java de la tecnología de código de la imagen desarrollada por Marc Antoine Garrigue y liberado como código abierto. JCaptcha proporciona a los programadores Java un marco y un conjunto de herramientas para la implementación de CAPTCHA en sus aplicaciones web. Puede descargar el paquete completo que incluye JAR, documentación API y el código fuente en [http://sourceforge.net/projects/jcaptcha SourceForge].

La última versión de JCaptcha (1,0) está disponible bajo la Licencia Pública General de GNU, pero versiones posteriores estarán bajo la licencia LGPL.
===== Ejemplo (En inglés) =====
* Un Servlet Sencillo de CAPTCHA: [[JCaptcha servlet example|¿Como Funciona?]] | [http://owasp-java.googlecode.com/svn/trunk/JCaptcha/captcha-demos.war descargue el archivo war]

====SimpleCaptcha====
[http://simplecaptcha.sourceforge.net/ SimpleCaptcha] es otro marco que proporciona a los programadores Java con la capacidad de agregar fácilmente un CAPTCHA para sus aplicaciones web. Una serie de servlets de CAPTCHA por defecto se proporcionan, incluyendo una versión china. La representación visual del texto CAPTCHA se puede modificar mediante una serie de métodos de filtrado, pero SimpleCaptcha no proporciona un CAPTCHA de audio, lo que limita su accesibilidad para los discapacitados visuales.
===== Ejemplo (En Inglés) =====
* Ejemplo de SimpleCaptcha: [https://sourceforge.net/project/platformdownload.php?group_id=147810&sel_platform=13579 Ejemplo para J2EE]

====reCAPTCHA====
[http://recaptcha.net reCAPTCHA] es un servicio web que proporciona un CAPTCHA de visual y un CAPTCHA de audio. Los CAPTCHAs visuales generados por reCAPTCHA no se pueden personalizar, pero se derivan del texto en los libros digitalizados que ya no pudieron ser reconocidos por la tecnología OCR.

Una serie de plugins para diferentes lenguajes de programación se han desarrollado, incluyendo un [http://code.google.com/p/recaptcha/downloads/list?q=label:java-Latest plugin de Java], es bastante sencillo de desarrollar su propio plugin. Uno de los inconvenientes principales de usar un servicio web como reCAPTCHA es que el servicio podría caerse mientras la aplicación se está ejecutando. En el caso de fallo, Su aplicación tendrá que fallar y mostrar un mensaje.

'''Tutor: ''' Ingeniero Tito Armas
'''Traductor: ''' Luis Fernando Naranjo
'''Curso: ''' Aplicaciones en Ambientes Libres

Captchas in Java/es

2013-09-16T03:59:40Z

Jcmax: Initial Version

#REDIRECT [[Captchas en Java]]

Complejidad Y Longitud De Las Contraseñas

2013-09-16T03:44:09Z

Jcmax: version inicial

== Introducción==
Una contraseña es algo que el usuario conoce, es similar a un número de identificación personal (PIN) que utilizamos para nuestra tarjeta de cajero automático del banco. Junto con la identificación del usuario, es el mecanismo más común de identificación y autorización implementado en aplicaciones web. A continuación se presentan las ventajas y desventajas en el uso de una contraseña como mecanismo de autenticación.

'''Ventajas'''
* Fácil de implementar
* Bajo costo (no requiere hardware sofisticado)
* Fácil de usar (a menos que lo olvidemos)

'''Desventajas'''
* Fácil de adivinar
* Pueden ser infiltrados o utilizar fuerza bruta
* Los usuarios tienden a olvidar su contraseña o incluirlos en notas adhesivas publicado en su monitor o debajo del teclado

Con las mejores prácticas y directrices adecuadas de aplicación, el uso de la contraseña como mecanismo de autenticación puede ser una solución rápida y fácil.

== Las mejores prácticas ==

La longitud y la complejidad de la contraseña con la gestión de contraseñas adecuada hace que el uso de la contraseña como mecanismo de autenticación, vale la pena tener en cuenta en sus necesidades de aplicaciones web. A continuación se presentan las mejores prácticas para la longitud y complejidad de la contraseña.

'''Longitud de la contraseña'''

La longitud de la contraseña que hay que tomar en cuenta es la longitud mínima y máxima de caracteres que comprenden la contraseña de los usuarios. Para facilitar el cambio de esta longitud, su aplicación puede ser configurable posiblemente utilizando un archivo de propiedades o el archivo de configuración XML.

* La longitud mínima: Las contraseñas deben tener por lo menos ocho (8) caracteres. La combinación de esta longitud con la complejidad hace que una contraseña sea difícil de adivinar.
* Longitud máxima: Recuerde, la gente tiende a olvidar sus contraseñas fácilmente. Cuanto más larga sea la contraseña, la gente tiene más oportunidades de utilizar su contraseña en el sistema erróneamente.

'''Complejidad de la contraseña'''

La combinación de los caracteres debe ser de caracteres alfanuméricos. Los caracteres alfanuméricos contienen letras, números, signos de puntuación y otros símbolos matemáticos convencionales.

Para la funcionalidad de cambio de contraseña, si es posible, mantener un historial de contraseñas antiguas utilizadas. No debe almacenar las contraseñas reales para proteger contra ataques de fuerza bruta si el archivo de base de datos se ve comprometido. De esta manera, el usuario no puede cambiar a una contraseña que se utilizó un par de meses atrás.

'''Generación de la contraseña'''

El API OWASP Enterprise Security para Java tiene algunos métodos que simplifican la tarea de generar contraseñas de calidad, así como la determinación de la contraseña.

* public void verifyPasswordStrength(String newPassword, String oldPassword)
El método verifyPasswordStrength () acepta una nueva contraseña y la contraseña actual.
En primer lugar, comprueba que la nueva contraseña no contiene tres sub-cadenas de caracteres de la contraseña actual.

En segundo lugar, se comprueba si la contraseña contiene caracteres de cada uno de los siguientes conjuntos de caracteres: CHAR_LOWERS, CHAR_UPPERS, CHAR_DIGITS, CHAR_SPECIALS.

Finalmente, se calcula la intensidad de la contraseña mediante la multiplicación de la longitud de la nueva contraseña por el número de conjuntos de caracteres que se compone. Un valor inferior a 16 se considera débil y una excepción será lanzada en este caso. En algún momento en el futuro, este valor será una opción configurable por el usuario.

* public String generateStrongPassword()
El generateStrongPassword () utiliza la aleatoriedad ESAPI para construir contraseñas seguras compuestas por letras mayúsculas y minúsculas, números y caracteres especiales. Actualmente, todos los conjuntos de caracteres están codificadas en ESAPI Encoder.java. Hay planes para hacer estos configurable por el usuario.

There are plans to make these user configurable. The source code is available at [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Authenticator.html Authenticator.java]. For more information on OWASP ESAPI follow this link: [[ESAPI|OWASP ESAPI]]

'''Código de Ejemplo'''

Below is a sample Servlet that uses the above methods to create a new password, and compare it to a blank string.

import org.owasp.esapi.*;
import org.owasp.esapi.interfaces.IAuthenticator;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

public class generateStrongPassword extends HttpServlet {

public static final String RESOURCE_DIRECTORY = "org.owasp.esapi.resources";
private static String resourceDirectory = System.getProperty(RESOURCE_DIRECTORY);

public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException{
response.setContentType("text/html");
IAuthenticator passInstance = ESAPI.authenticator();
PrintWriter out = response.getWriter();
String password = passInstance.generateStrongPassword();

try {
passInstance.verifyPasswordStrength(password, "");
out.println("New password is strong!");
} catch (Exception e) {
out.println("New password is not strong enough");
}
out.println(password);
}
}

[[Category:OWASP Java Project]]
'''Tutor: '''Ingeniero Tito Armas
'''Traductoras: '''Aguirre Adriana y Nazamues Milena
'''Fecha:''' 2012 Noviembre

Password length & complexity/es

2013-09-16T03:42:57Z

Jcmax: initial version

#REDIRECT [[Complejidad Y Longitud De Las Contraseñas]]

Implementacion De Firmas Digitales en Java

2013-09-16T03:40:35Z

Jcmax: Version Inicial

== ADVERTENCIA ==

Recientemente Jim Manico trajo a mi atención esta página wiki, el mismo que me pidió que revisara con exactitud. Al hacerlo, me di cuenta de varios errores y áreas de weakness. Últimamente, tengo la intención de revisar esta página (espero que con la ayuda de uno de los propietarios originales), pero no dispongo de tiempo para hacer una revisión completa en este momento. Por lo tanto, resumiré la problemática que observe de esta página y dejándole a usted la decisión de utilizar o no, con estas advertencias. 

#En primer lugar, esta página no describe "firmas digitales". Más bien, describe un concepto conocido como "sobres digitales", que es un esquema utilizado con objetos como S / MIME. Las firmas digitales no sólo cifra el texto real del mensaje, sólo cifra el hash del texto del mensaje.
#Codificación UTF-8, debe utilizarse para realizar conversiones entre cadenas y matrices Java byte para asegurar la portabilidad adecuada a través de diferentes sistemas operativos.
#La cadena de certificados siempre deben ser validados. En este ejemplo, el certificado es auto firmado, por lo que este no es relevante y no será verdadero en el caso normal. Además, debe tenerse en cuenta que los certificados auto firmados, aunque aceptables para fines de demostración se considera una práctica dudosa para la producción, ya que abre la puerta a ataques de suplantación.
#NIST ahora recomienda el uso de 2048 tamaño de la clave de bits para claves RSA o DSA.
#Hay un consistente uso de algoritmos débiles. Aquí están algunos reemplazos sugeridos:

*Utilice "RSA/ECB/OAEPWithSHA1AndMGF1Padding" en lugar de "RSA/ECB/PKCS1Padding".
*Utilice SHA1 (o mejor SHA256, SHA1 pero por lo menos) en lugar de MD5 para la síntesis del mensaje.
*Utilice "SHA1withRSA" para el algoritmo de la firma en lugar de "MD5withRSA".
*Al crear un sistema de cifrado simétrico para cifrar el mensaje de texto, utilice "AES/CBC/PKCS5Padding" y elija un IV aleatorio para cada mensaje de texto en lugar de utilizar simplemente "AES", que termina con "AES/ECB/PKCS5Padding". Modo ECB es extremadamente débil para un texto plano regular. (Está bien para el cifrado de bits aleatorios, sin embargo, está bien usar con RSA.) Sin embargo, el uso CBC y PKCS5Padding podría hacer vulnerable a "Padding Oracle" ataques, así que se recomienda tener cuidado. Puede utilizar Encryptor ESAPI 2.0 's para evitarlo. (Tenga en cuenta también, esta parte es del concepto de "sobre digital". Si esta página fuera limitada verdaderamente por "firmas digitales", no se aplicaría, ya que sería irrelevante.)

Espero sacar tiempo lo más pronto, antes de limpiar esta página wiki. Mientras tanto, envíeme por correo electrónico sus preguntas.

-kevin wall

== Visión de conjunto ==

Este artículo presenta un breve resumen de los conceptos involucrados con firmas digitales y proporciona ejemplos de código para la aplicación de firmas digitales en Java utilizando la Arquitectura de Java Cryptography.

=== ¿Qué es una firma digital? ===

Una firma digital es un concepto que ayuda a obtener el no repudio de origen (es decir, la Integridad del Origen) de datos. Al firmar digitalmente el documento, la persona que firma, asegura que él es el autor del documento o el mensaje firmado.

=== Necesidad de Firma Digital ===

Durante la "E" revolución, fue una necesidad para la autenticación de críticas transacciones sobre todo en el mundo financiero. Si Alice se comprometió a transferir $ x para Bob, entonces tenía que haber una manera para que Bob se asegure de que:

*Fue Alice quien realizó la transacción y no otra persona suplantando Alice (Autenticación).
*El monto acordado por Alice es $x (Integridad).
*Alicia no pudo discutir su declaración de transacción $x a Bob (No repudio de origen).

Estas preocupaciones fueron tratadas con una solución conocida como firmas digitales. Más información de fondo sobre las firmas digitales se puede encontrar en [http://en.wikipedia.org/wiki/Digital_signature Wikipedia article]

== Firmas digitales en Java utilizando JCA ==

La Arquitectura de Java Cryptography es un marco para el acceso y el desarrollo de la funcionalidad criptográfica para la plataforma Java. Un proveedor de JCA implementa las funcionalidades criptográficas como firmas digitales y compendios de mensajes. El proveedor predeterminado JCA en JDK 1.4.2 es SUN.

=== Consideraciones de seguridad al implementar la firma digital ===

Dos consideraciones principales de seguridad que se deben tener en cuenta al aplicar firmas digitales son:

#Firma el mensaje y, a continuación cifrar el mensaje firmado.
#Firma el hash del mensaje en lugar del mensaje completo.

=== Consideraciones sobre el rendimiento al implementar la firma digital ===

Dado que los algoritmos de cifrado asimétricos, como RSA, DSA son computacionalmente más lento que los algoritmos de cifrado simétricos como AES, es una buena práctica, cifrar el mensaje real que se transmite utilizando un algoritmo de clave simétrica y luego cifrar la clave que se utiliza en el algoritmo de clave simétrica utilizando un algoritmo de clave asimétrica. Por ejemplo: si se quiere transmitir el mensaje "Hola Mundo de Firmas Digitales", entonces primero se cifra este mensaje con una clave simétrica, por ejemplo una clave AES de 128 bits como x7oFaHSPnWxEMiZE/0qYrg y luego se cifra esta clave con un algoritmo de clave asimétrica como RSA.

== Algoritmo para implementar la firma digital utilizando el algoritmo RSA ==

El proveedor de la implementación en Java RSA tiene una limitación en que el cifrado se puede realizar sólo en los datos de longitud <= 117 bytes. Si los datos son de longitud > 117 bytes, se lanzaría un IllegalBlockSizeException: Los datos no debe tener más de 117 bytes ahí la simetría tiene que ser cifrados y luego firmados.

El algoritmo RSA PKCS # 1 con relleno sólo puede cifrar los datos de tamaño k - 11 [http://www.rsa.com/rsalabs/node.asp?id=2125 1], donde k cuya longitud es de un octeto del módulo RSA y 11 es la cantidad de bytes utilizados por el relleno PCKS # 1 v1.5. Por lo tanto, si usamos una clave RSA de tamaño de 1024 bits, podríamos cifrar sólo 128 - 11 => 117 bytes de datos. Hay dos opciones disponibles para cifrar los datos de tamaño de byte más grande.

#Podríamos usar una clave RSA de longitud> 1024. Por ejemplo, si usamos 2048 bits, entonces podríamos cifrar 256-11 => 245 bytes de datos. La desventaja de este enfoque es que no sería capaz de codificar los datos de tamaño> x bytes (en el ejemplo anterior x es 245).
#Analizar los datos de entrada en trozos de bytes de tamaño <117 y aplicar la encriptación en cada trozo. El código de ejemplo de este enfoque se puede encontrar aquí [http://www.aviransplace.com/2004/10/12/using-rsa-encryption-with-java/3/ here].

Ambos enfoques podrían afectar al rendimiento ya que la clave RSA de mayor tamaño o un enfoque de "divide y vencerás" de bytes de entrada son computacionalmente costosa.

=== Algoritmo ===

Con las anteriores consideraciones, el algoritmo siguiente puede ser usado para la implementación de la criptografía de clave pública en Java.

#Cifrar el mensaje utilizando una clave simétrica
#Concatenar la clave simétrica + hash de clave simétrica + hash del mensaje.
#Cifrar la cadena concatenada con la clave pública de los receptores.
#Firmar los datos a transmitir (clave simétrica cifrada + Hash de la tecla + Hash del mensaje).
#Validar la firma.
#Descifrar el mensaje con la clave privada del receptor para obtener la clave simétrica.
#Validar la integridad de la clave utilizando el hash de la clave.
#Descifrar el mensaje real usando la clave simétrica que se ha descifrado, se analiza y se comprueba la integridad.
#Calcular MessageDigest de datos.
#Validar si la síntesis del mensaje del texto descifrado coincide con el resumen de mensaje del mensaje original.

=== Comandos para la generación de claves ===

prompt# keytool -genkey -alias testsender -keystore testkeystore.ks -keyalg RSA Enter keystore password: testpwd What is your first and last name?

[Unknown]: Alice Sender

¿Cuál es su nombre y apellido?

[Unknown]: IT

¿Cuál es el nombre de la unidad organizativa?

[Unknown]: ABC Inc

¿Cuál es el nombre de su organización?

[Unknown]: LA

¿Cuál es el nombre de su ciudad o localidad?

[Unknown]: CA

¿Cuál es el nombre de su estado o provincia?

[Unknown]: US

Es CN = Alice Sender, OU = IT, O = ABC Inc, L = LA, ST = CA, C = EE.UU. correcto?

[no]: y

Introduzca la contraseña clave para <testsender>

(RETURN if same as keystore password): send123

prompt # keytool -genkey -alias testrecv -keystore testkeystore.ks -keyalg RSA Introduzca la contraseña del almacén de claves: testpwd
¿Cuál es su nombre y apellido?

[Unknown]: Bob Receiver

¿Cuál es el nombre de la unidad organizativa?

[Unknown]: HR

¿Cuál es el nombre de su organización?

[Unknown]: ABC Inc

¿Cuál es el nombre de su ciudad o localidad?

[Unknown]: SFO

¿Cuál es el nombre de su estado o provincia?

[Unknown]: CA

¿Qué es el código de país de dos letras para esta unidad?

[Unknown]: US

Es CN = Bob receptor, OU = HR, O = ABC Inc, L = SFO, ST = CA, C = EE.UU. correcto?

[no]: y

Introduzca la contraseña clave para <testrecv>

(RETURN if same as keystore password): recv123

=== Ejemplo de Código ===

==== PublicKeyCryptography.java ====
<pre>package org.owasp.crypto;

import java.security.*;
import java.security.cert.*;
import javax.crypto.*;
import sun.misc.BASE64Encoder;
import sun.misc.BASE64Decoder;

/**
*
* @author Joe Prasanna Kumar
*
* 1. Cifrar los datos utilizando una clave simétrica
* 2. Cifrar la clave simétrica con la clave pública Receptores
* 3. Crear un resumen del mensaje de los datos a transmitir
* 4. Firma el mensaje a transmitir
* 5. Envíe los datos a través de un canal no seguro
* 6. Validar la firma
* 7. Descifrar el mensaje usando la llave privada Pets para obtener la clave simétrica
* 8. Descifrar los datos usando la clave simétrica
* 9. Calcule MessageDigest de datos + mensaje firmado
* 10.Valide si la síntesis del mensaje del texto descifrado coincide con el resumen de mensaje del mensaje original
*
*/

public class PublicKeyCryptography {

/**
* @param args
*/
public static void main(String[] args) {

SymmetricEncrypt encryptUtil = new SymmetricEncrypt();
String strDataToEncrypt = "Hello World";
byte[] byteDataToTransmit = strDataToEncrypt.getBytes();

// Generación de un SecretKey para el cifrado simétrico
SecretKey senderSecretKey = SymmetricEncrypt.getSecret();

//1. Cifrar los datos utilizando una clave simétrica
byte[] byteCipherText = encryptUtil.encryptData(byteDataToTransmit,senderSecretKey,"AES");
String strCipherText = new BASE64Encoder().encode(byteCipherText);

//2. Cifrar la clave simétrica con la clave pública
try{
// 2.1 Especifique el almacén de claves que se haya importado el certificado Receptores
KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
char [] password = "testpwd".toCharArray();
java.io.FileInputStream fis = new java.io.FileInputStream("/home/Joebi/workspace/OWASP_Crypto/org/owasp/crypto/testkeystore.ks");
ks.load(fis, password);
fis.close();

// 2.2 Creación de un certificado X509 del receptor
X509Certificate recvcert ;
MessageDigest md = MessageDigest.getInstance("MD5");
recvcert = (X509Certificate)ks.getCertificate("testrecv");
// 2.3 Obtención de la llave pública de los certificados
PublicKey pubKeyReceiver = recvcert.getPublicKey();

// 2.4 Cifrado de la SecretKey con la clave pública Receptores
byte[] byteEncryptWithPublicKey = encryptUtil.encryptData(senderSecretKey.getEncoded(),pubKeyReceiver,"RSA/ECB/PKCS1Padding");
String strSenbyteEncryptWithPublicKey = new BASE64Encoder().encode(byteEncryptWithPublicKey);

// 3. Crear un resumen del mensaje de los datos a transmitir
md.update(byteDataToTransmit);
byte byteMDofDataToTransmit[] = md.digest();

String strMDofDataToTransmit = new String();
for (int i = 0; i < byteMDofDataToTransmit.length; i++){
strMDofDataToTransmit = strMDofDataToTransmit + Integer.toHexString((int)byteMDofDataToTransmit[i] & 0xFF) ;
}

// 3.1 Mensaje que se Firmado = clave secreta cifrada + MAC de los datos a transmitir
String strMsgToSign = strSenbyteEncryptWithPublicKey + "|" + strMDofDataToTransmit;

// 4. Firma el mensaje
// 4.1 Obtener la clave privada del remitente desde el almacén de claves, proporcionando la contraseña establecida para la llave privada mientras se crea las llaves usados.
char[] keypassword = "send123".toCharArray();
Key myKey = ks.getKey("testsender", keypassword);
PrivateKey myPrivateKey = (PrivateKey)myKey;

// 4.2 Firmar el mensaje
Signature mySign = Signature.getInstance("MD5withRSA");
mySign.initSign(myPrivateKey);
mySign.update(strMsgToSign.getBytes());
byte[] byteSignedData = mySign.sign();

// 5. Los valores byteSignedData (la firma) y strMsgToSign (los datos que se firmó) se pueden enviar a través del receptor

// 6. Validar la firma
// 6.1 Extraer la clave pública de su certificado de remitentes
X509Certificate sendercert ;
sendercert = (X509Certificate)ks.getCertificate("testsender");
PublicKey pubKeySender = sendercert.getPublicKey();
// 6.2 Verificar la Firma
Signature myVerifySign = Signature.getInstance("MD5withRSA");
myVerifySign.initVerify(pubKeySender);
myVerifySign.update(strMsgToSign.getBytes());

boolean verifySign = myVerifySign.verify(byteSignedData);
if (verifySign == false)
{
System.out.println(" Error in validating Signature ");
}

else
System.out.println(" Successfully validated Signature ");

// 7. Descifrar el mensaje usando la llave privada Pets para obtener la clave simétrica
char[] recvpassword = "recv123".toCharArray();
Key recvKey = ks.getKey("testrecv", recvpassword);
PrivateKey recvPrivateKey = (PrivateKey)recvKey;

// Analizar el MessageDigest y el valor cifrado
String strRecvSignedData = new String (byteSignedData);
String[] strRecvSignedDataArray = new String [10];
strRecvSignedDataArray = strMsgToSign.split("|");
int intindexofsep = strMsgToSign.indexOf("|");
String strEncryptWithPublicKey = strMsgToSign.substring(0,intindexofsep);
String strHashOfData = strMsgToSign.substring(intindexofsep+1);

// Descifrado para obtener la clave simétrica
byte[] bytestrEncryptWithPublicKey = new BASE64Decoder().decodeBuffer(strEncryptWithPublicKey);
byte[] byteDecryptWithPrivateKey = encryptUtil.decryptData(byteEncryptWithPublicKey,recvPrivateKey,"RSA/ECB/PKCS1Padding");

// 8. Descifrar los datos usando la clave simétrica
javax.crypto.spec.SecretKeySpec secretKeySpecDecrypted = new javax.crypto.spec.SecretKeySpec(byteDecryptWithPrivateKey,"AES");
byte[] byteDecryptText = encryptUtil.decryptData(byteCipherText,secretKeySpecDecrypted,"AES");
String strDecryptedText = new String(byteDecryptText);
System.out.println(" Decrypted data is " +strDecryptedText);

// 9. Calcule MessageDigest de datos + mensaje firmado
MessageDigest recvmd = MessageDigest.getInstance("MD5");
recvmd.update(byteDecryptText);
byte byteHashOfRecvSignedData[] = recvmd.digest();

String strHashOfRecvSignedData = new String();

for (int i = 0; i < byteHashOfRecvSignedData.length; i++){
strHashOfRecvSignedData = strHashOfRecvSignedData + Integer.toHexString((int)byteHashOfRecvSignedData[i] & 0xFF) ;
}
// 10. Validar si la síntesis del mensaje del texto coincide con el mensaje descifrado
Digest of the Original Message

if (!strHashOfRecvSignedData.equals(strHashOfData))
{
System.out.println(" Message has been tampered ");
}

}

catch(Exception exp)
{
System.out.println(" Exception caught " + exp);
exp.printStackTrace();
}

}

}
</pre>
==== SymmetricEncrypt.java ====
<pre>package org.owasp.crypto;

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.Cipher;
import java.security.Key;

import java.security.NoSuchAlgorithmException;
import java.security.InvalidKeyException;
import java.security.InvalidAlgorithmParameterException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.BadPaddingException;
import javax.crypto.IllegalBlockSizeException;

import sun.misc.BASE64Encoder;

/**
* @author Joe Prasanna Kumar
* Este programa ofrece las funcionalidades criptográficas siguientes
* 1. Cifrado con AES
* 2. El descifrado con AES
*
* Algoritmo de alto nivel:
* 1. Generar una clave DES (especificar el tamaño de la clave durante esta fase)
* 2. Cree el Cipher
* 3. Para cifrar: Inicializar el cifrado para el cifrado
* 4. Para descifrar: Inicializar el cifrado para descifrar
*
*
*/

public class SymmetricEncrypt {

String strDataToEncrypt = new String();
String strCipherText = new String();
String strDecryptedText = new String();
static KeyGenerator keyGen;
private static String strHexVal = "0123456789abcdef";

public static SecretKey getSecret(){
/**
* Paso 1. Generación de una clave AES mediante keygenerator
* Inicializa el tamaño de clave de 128
*
*/

try{
keyGen = KeyGenerator.getInstance("AES");
keyGen.init(128);

}

catch(Exception exp)
{
System.out.println(" Exception inside constructor " +exp);
}

SecretKey secretKey = keyGen.generateKey();
return secretKey;
}

/**
* Paso 2. Crear un sistema de cifrado mediante la especificación de los siguientes parámetros
* a. Nombre del algoritmo - aquí es AES
*/

public byte[] encryptData(byte[] byteDataToEncrypt, Key secretKey, String Algorithm) {
byte[] byteCipherText = new byte[200];

try {
Cipher aesCipher = Cipher.getInstance(Algorithm);

/**
* Paso 3. Inicialice el cifrado para el cifrado
*/
if(Algorithm.equals("AES")){
aesCipher.init(Cipher.ENCRYPT_MODE,secretKey,aesCipher.getParameters());
}
else if(Algorithm.equals("RSA/ECB/PKCS1Padding")){
aesCipher.init(Cipher.ENCRYPT_MODE,secretKey);
}

/**
* Paso 4. Cifrar los datos
* 1. Declarar / inicializar los datos. Aquí los datos son de tipo String
* 2. Convertir el texto de entrada a Bytes
* 3. Cifrado de los bytes, utilizando el método doFinal
*/
byteCipherText = aesCipher.doFinal(byteDataToEncrypt);
strCipherText = new BASE64Encoder().encode(byteCipherText);

}

catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}

catch (NoSuchPaddingException noSuchPad)
{
System.out.println(" No Such Padding exists " + noSuchPad);
}

catch (InvalidKeyException invalidKey)
{
System.out.println(" Invalid Key " + invalidKey);
}

catch (BadPaddingException badPadding)
{
System.out.println(" Bad Padding " + badPadding);
}

catch (IllegalBlockSizeException illegalBlockSize)
{
System.out.println(" Illegal Block Size " + illegalBlockSize);
illegalBlockSize.printStackTrace();
}
catch (Exception exp)
{
exp.printStackTrace();
}

return byteCipherText;
}
/**
* Paso 5. Descifrar los datos
* 1. Inicialice el cifrado para descifrar
* 2. Descifrar los bytes cifrados utilizando el método doFinal
*/

public byte[] decryptData(byte[] byteCipherText, Key secretKey, String Algorithm) {
byte[] byteDecryptedText = new byte[200];

try{
Cipher aesCipher = Cipher.getInstance(Algorithm);
if(Algorithm.equals("AES")){
aesCipher.init(Cipher.DECRYPT_MODE,secretKey,aesCipher.getParameters());
}
else if(Algorithm.equals("RSA/ECB/PKCS1Padding")){
aesCipher.init(Cipher.DECRYPT_MODE,secretKey);
}

byteDecryptedText = aesCipher.doFinal(byteCipherText);
strDecryptedText = new String(byteDecryptedText);
}

catch (NoSuchAlgorithmException noSuchAlgo)
{
System.out.println(" No Such Algorithm exists " + noSuchAlgo);
}

catch (NoSuchPaddingException noSuchPad)
{
System.out.println(" No Such Padding exists " + noSuchPad);
}

catch (InvalidKeyException invalidKey)
{
System.out.println(" Invalid Key " + invalidKey);
invalidKey.printStackTrace();
}

catch (BadPaddingException badPadding)
{
System.out.println(" Bad Padding " + badPadding);
badPadding.printStackTrace();
}

catch (IllegalBlockSizeException illegalBlockSize)
{
System.out.println(" Illegal Block Size " + illegalBlockSize);
illegalBlockSize.printStackTrace();
}

catch (InvalidAlgorithmParameterException invalidParam)
{
System.out.println(" Invalid Parameter " + invalidParam);
}

return byteDecryptedText;
}

public static byte[] convertStringToByteArray(String strInput) {
strInput = strInput.toLowerCase();
byte[] byteConverted = new byte[(strInput.length() + 1) / 2];
int j = 0;
int interimVal;
int nibble = -1;

for (int i = 0; i < strInput.length(); ++i) {
interimVal = strHexVal.indexOf(strInput.charAt(i));
if (interimVal >= 0) {
if (nibble < 0) {
nibble = interimVal;
} else {
byteConverted[j++] = (byte) ((nibble << 4) + interimVal);
nibble = -1;
}
}
}

if (nibble >= 0) {
byteConverted[j++] = (byte) (nibble << 4);
}

if (j < byteConverted.length) {
byte[] byteTemp = new byte[j];
System.arraycopy(byteConverted, 0, byteTemp, 0, j);
byteConverted = byteTemp;
}

return byteConverted;
}

public static String convertByteArrayToString(byte[] block) {
StringBuffer buf = new StringBuffer();

for (int i = 0; i < block.length; ++i) {
buf.append(strHexVal.charAt((block[i] >>> 4) & 0xf));
buf.append(strHexVal.charAt(block[i] & 0xf));
}

return buf.toString();
}
}
</pre>
== Referencias ==

#Computer Security Arts and Science – Matt Bishop
#Core Security Patterns – Christopher Steele, Ray Lai and Ramesh Nagappan

[[Category:OWASP_Java_Project]]

'''Aplicaciones en Ambientes Libres'''

'''Tutor:''' Ing. Tito Armas

'''Traductoroas:''' Bravo Maria Jose y Portilla Maria Fernanda 2012

Digital Signature Implementation in Java/es

2013-09-16T03:40:25Z

Jcmax: Cambio a Redirect para utilizar titulo en español

#REDIRECT [[Implementacion De Firmas Digitales en Java]]

Digital Signature Implementation in Java/es

2013-09-16T03:38:14Z

Jcmax: version inicial, movida desde otra pagina

Lineamientos Para Traducción Al Español

2013-09-16T03:30:51Z

Jcmax: initial version

==Sobre el proyecto de internacionalización de OWASP==
El número de personas en el mundo que hablan, nativamente o como lengua secundaria, chino, español, francés, ruso, árabe y lenguajes indios esta estimado en un numero parecido o incluso mayor a los que hablan inglés.

Este proyecto intenta fijar las bases para la traducción de todos los proyectos de OWASP a los principales idiomas del mundo, apoyando así a el objetivo de OWASP de esparcir la cultura de seguridad en aplicaciones.

Es buen momento para que OWASP llegue a aquellos que no hablan inglés de manera completa y no solo con un par de documentos. Por ello, el nacimiento de este proyecto.

==Sobre el proyecto de OWASP-Spanish==
Desde 2005 este proyecto a trabajado en llevar a el publico de habla hispana la documentación de OWASP en si idioma natal, esto con el objeto de fomentar la distribución de la cultura de seguridad en Latinoamérica y España. Aunque el idioma inglés esta ampliamente distribuido en el mundo, hay mucha gente y organizaciones que no lo dominan. Es el objetivo de este proyecto eliminar esta barrera del lenguaje para permitir le difusión irrestricta de la "filosofía" OWASP.

==Sobre este documento==
Este documento pretende fungir como una guía básica para la traducción de los documentos y páginas de OWASP al español, los elementos principales de este documento son
* Lineamientos generales para traducir
* Guía sobre la integración con el sitio en inglés
* Descripción de cómo agregar el reconocimiento a los participantes en la traducción

===Lineamientos generales para traducir===
Dada la distribución tan amplia del lenguaje y la gran cantidad de variantes que existen, los lineamientos tratan de ayudar a utilizar un español "neutral" (tal no existe, pero si no se hace de esta manera nos veríamos en la necesidad de traducir varias veces el documento a el mismo idioma pero con diferentes enfoques regionales)

Es altamente recomendable seguir los siguientes lineamientos para realizar una traducción mas organizada y fluida, de otra manera, se va a requerir mucho tiempo en la conjunción de los diferentes secciones de los documentos. Además de que sería desconcertante para el lector cambiar entre distintos estilos de traducción durante la lectura de un documento o las paginas de el sitio de Internet de OWASP.

* '''Tratamiento al lector''': Excepto casos contados, ha de tratarse al lector siempre de usted. Por ello se traducirá 'you' por usted, no por tú. Esta fórmula se utiliza para dar un trato formal al lector. De preferencia evite escribir la palabra en sí, mas bien, hágalo implícito en la sentencia, entonces, para traducir ‘You have to click on the menu....” es preferible "Tiene que dar clic en el menú..." en ves de “Usted tiene que dar clic en el menú...” dado que en inglés se utilizan mucho los pronombres como parte de su sintaxis.

* '''Si no sabe, pregunte'''. Es decir, si no sabe busque el significado de la palabra en un glosario de términos, NO LA INVENTE
** Como glosario de términos informáticos se deberá utilizar alguno de los siguientes
*** http://www.tugurium.com/gti/ (Escribir el termino en inglés en la sección de “buscar”)
*** http://quark.fe.up.pt/orca/index.es.html
** En caso de duda sobre el uso de una palabra en español consulte el diccionario de la real academia de la lengua española
*** http://buscon.rae.es/diccionario/drae.htm

* '''Muchas palabras terminadas en "ing" no son gerundios''', aunque lo parezcan, por lo que “your typing should be slow...” se traduce como “Debe escribir despacio...” o “Writing a letter is easy” se traduce como “Escribir una carta es fácil”.

* '''Los pronombres posesivos en inglés no se tienen necesariamente que traducir''' por el correspondiente pronombre posesivo en español. Se entiende, pero un hispanoparlante no hablaría así, por ejemplo, en lugar de su sistema para traducir your system debería utilizarse el sistema. Sólo se debería poner su si el propietario del sistema es relevante en este caso. La película de Amenábar Abre los ojos se traduciría al inglés a Open your eyes pero en español no se diría Abre tus ojos.

* '''Cuidado con palabras que se escriben parecido pero que no significan lo mismo''', que no tienen el mismo género, o que habitualmente se traducen a anglicismos que no existen, algunos ejemplos:
** '''command''': orden, comando no es correcto.
** '''actual''': real o verdadero, actual no es correcto.
** '''free''': libre (generalmente, en Debian), y no gratis.
** '''font''': tipo de letra, fuente no es correcto.
** '''library''': biblioteca, no librería.
** '''normally''': habitualmente (generalmente mejor que 'normalmente')
** '''to encrypt''': cifrar (no encriptar, que es meter en una cripta)
** '''to parse''': analizar o tratar (no parsear, que no existe)
** '''prevent''': impedir, no prevenir.
** '''the interface''': la interfaz (ojo, femenino).
** '''by default''': por omisión, de forma predeterminada ('defecto' es un 'falso amigo', que aunque ha sido admitido por la RAE, es preferible evitar).
** Para una lista mas completa favor de ver la siguiente página http://maja.dit.upm.es/~aalvarez/pitfalls/

* '''Palabras compuestas''': En inglés se usa comúnmente el guión (-) para componer palabras a partir de otras más simples. En español el guión separa más que junta. Palabras como sub-architecture o best-effort han de traducirse de forma que o bien se junten las palabras (subarquitectura), según las normas de estilo del español, o bien se realice una traducción más libre de la palabra, con por ejemplo una expresión (lo mejor posible). También es posible separar los términos con un espacio: ex presidente. Si se piensa que se puede perder significado al traducir la palabra, puede colocarse después entrecomillada aunque sólo se hará esto si la palabra técnica no queda clara o si el término se utiliza en otros contextos (por ejemplo, programas o etiquetas de control) sin traducir. Por ejemplo: This is done at best-effort podría traducirse por Ello se hace lo mejor posible, The minor-release field podría traducirse por El campo de distribución menor (“minor-release”, N. del T.).

* '''Los términos que sean intraducibles y deban dejarse en inglés se marcaran como tales'''. Esto significa, habitualmente, que deberá utilizarse las comillas tipográficas (en textos de programas) u otros mecanismos de marcado (por ejemplo, <nowiki></nowiki> en páginas HTML). No se deberá, sin embargo, abusar de esto y poner(put) cada palabra(word) con un sinónimo(synonymous) entre paréntesis, ya que es francamente(frankly) ridículo(ridiculous).

* '''Mayúsculas y minúsculas''':
** En español se escribe con mayúsculas sólo la primera letra de los títulos, "Our Priorities are Our Users and Free Software" debe traducirse por "Nuestras prioridades son nuestros usuarios y el software libre".
** Las mayúsculas deben ir acentuadas (la falsa idea de que no es necesario o es opcional viene del mundo de las máquinas de escribir)
** Los meses y los días de la semana en español se escriben en minúsculas
** Tampoco se ponen con mayúsculas los nombres de idioma

* '''Evitar muchas preposiciones en la misma frase'''. Por ejemplo, en la frase: "El niño vio el coche en la cuneta de la calle enfrente de la academia de inglés", ¿qué o quién estaba enfrente de la academia, el coche o el niño?

* '''Intentar evitar coloquialismos y expresiones idiomáticas'''. Por ejemplo, la frase: "Juan no tenía pasta y se la birló a su hermano", debería ser: "Juan no tenía dinero y se lo robó a su hermano"

* '''Traducción fiel'''
** No inventar abreviaturas. Por ejemplo, la abreviatura de departamento es "dept.", y no "dpto"; la abreviatura de teléfono es "tel." y no "tlf.", etc.
** Usar el mismo tipo de letra, formato y estilo (mayúsculas y minúsculas, negrita, italica, etc) que el documento original

* '''Marcar palabras especiales'''. Por ejemplo, en un manual informático, se recomienda la frase: "Escoja la opción <Herramientas> y haga clic en<Aceptar>"en lugar de "Escoja la opción Herramientas y haga opción en Aceptar".

* '''El uso de herramientas automatizadas de traducción es aceptable''', sin embargo, dada la falta de “sentido común” de estas herramientas hace que el texto resultante tenga inconsistencias importantes que evitarían la lectura natural del texto. Algunas de esas herramientas son:
** http://www.google.es/translate_t?hl=es (Google)
** http://babelfish.altavista.com/ (Babel Fish)
** http://www.freetranslation.com/ (Free Translator)
** http://translation2.paralink.com/ (Another free translator)
'''NOTA: No estoy relacionado con ninguno de estos traductores automáticos ni tampoco puedo recomendar alguno de ellos en particular.'''

* '''Revisión ortográfica y gramatical'''. Antes de considerar el documento como terminado hay que correr el analizador sintáctico y gramatical del procesador de textos para revisar que no hayamos olvidado corregir alguna palabra.

* '''Segunda Lectura'''. Una ves terminado el documento hay que volver a leerlo para confirmar que lo que hemos traducido tiene sentido para el lector. Un analizador sintáctico no va a detectar un error cuando las palabras existan aun y que puestas juntas no tengan sentido, por ejemplo: “agua para con sumo humano” no va a ser marcado como incorrecto siendo que es una frase sin sentido (note el espacio entre “con” y “sumo”). Lo mismo ocurre si traducimos literalmente el texto, al final el editor va a tener que rescribir el documento.

* '''Edición Final'''. Antes de su publicación, una ves que la traducción del documento se haya finalizado hay que enviarlo a revisión con un compañero para permitir corregir problemas que no hayan sido identificados por nosotros mismos.

===Errores “aceptables”===
Hay algunas practicas que pueden considerarse errores (principalmente en España) pero que son estilos ampliamente utilizados y aceptados en la mayoría de los países hispano hablantes, por lo que estos errores se consideran aceptables en la traducción de documentos para OWASP.

* Para apoyar en parte la neutralidad de la traducción hay algunos elementos que pueden ser omitidos para evitar mas trabajo y dado que no son utilizados en todos los países hispano parlantes. Esto son:

* El uso de comillas simples o dobles en ves de las comillas tipográficas latinas

* Uso “razonable” de voz pasiva, aunque no es común en español es aceptable su uso ocasional.

* La falta de un estilo en particular como los usados por otros proyectos por medio de una guía de estilos.

* No utilizar el punto como separador de miles y la coma como el separador de decimales (al revés que en inglés) ya que este último es el formato mayoritario utilizado por los usuarios hispano parlantes.

===Ligas útiles===
Siéntase libre de leer la siguiente documentación para complementar sus conocimientos antes de iniciar la traducción.

El Rincón del Traductor
http://www.elcastellano.org/rincon.html

Diccionario de la Real Academia de la Lengua Española
http://buscon.rae.es/diccionario/drae.htm

Manual de Ortografia de la Real Academia de la Lengua Española
http://www.rae.es/rae/gestores/gespub000015.nsf/(voanexos)/arch7E8694F9D6446133C12571640039A189/$FILE/Ortografia.pdf

Anglicismos, barbarismos, neologismos y «falsos amigos» en el lenguaje informático
http://www.ati.es/gt/lengua-informatica/externos/sampedr1.html

Glosas de la Academia Norteamericana De La Lengua Española
http://www9.georgetown.edu/faculty/irizarry/academia/glosas.html

Falsos amigos (false cognates)
http://www.eloihr.net/falsefriends/index.php?page=diccionario

False Friends
http://www.miguelmllop.com/glos/index.php?letter=*

===Referencias===
La siguiente es una lista de documentos que aunque no es indispensable leerlos para este esfuerzo de traducción, pueden servir de referencia personal

Glosario básico inglés-español para usuarios de Internet.
http://www.ati.es/novatica/glosario/glosario_internet.html

Glosario de términos informáticos
http://www.clarin.com/suplementos/informatica/htm/glosario.htm

Traducción y documentación: cooperar para difundir la información
http://www.hipertext.net/web/pag241.htm

Normas Correspondientes a las Traducciones del sitio de Debian
http://www.es.debian.org/international/spanish/notas

La Traducción en el mundo del Software Libre
http://es.tldp.org/Articulos/0000otras/doc-traduccion-libre/doc-traduccion-libre/

Basic Computer Spanglish Pitfalls
http://maja.dit.upm.es/~aalvarez/pitfalls/

Diez errores frecuentes de revisores y traductores
http://elcastellano.org/diezerr.html

Reglas de acentuación
http://www.ati.es/gt/lengua-informatica/estilo/acentos.html

Spanglish
http://www.gsi.dit.upm.es/%7Egfer/spanglish/

KDE-ES
http://i18n.kde.org/teams/es/index.php

Diccionarios de la lengua española (Diferentes Regiones)
http://elcastellano.org/diccio.html

International Telecommunication Union SANCHO (Sector Abbreviations and defiNitions for a teleCommunications tHesaurus Oriented) database
http://www.itu.int/sancho/index.asp

GNOME-ES
http://es.gnome.org/Documentacion/Guias/TraduccionDeAyudas

Diccionarios.com, diccionarios y traducción inglés español
http://www.diccionarios.com/

Glosarios Inglés-Español-Francés de la base de datos de documentación científico-técnica de ACTA
http://www.acta.es/index.asp?inc=ief

Página de la lengua española
http://www.dat.etsit.upm.es/~mmonjas/espannol.html

===Mejoras===
Si tienen sugerencias o mejoras a este documento envie sus comentarios a la lista de distribucion de [mailto:owasp-spanish@lists.owasp.org OWASP-Spanish] o con [mailto:johnccr@yahoo.com Juan Carlos Calderon].

Guidelines For Spanish Translations/es

2013-09-16T03:30:39Z

Jcmax: redirect to spanish titled page

#REDIRECT [[Lineamientos Para Traducción Al Español]]

Guidelines For Spanish Translations/es

2013-09-16T03:30:02Z

Jcmax: redirect to spanish titled page

[[#REDIRECT Lineamientos Para Traducción Al Español]]

Command injection in Java/es

2013-09-16T03:25:30Z

Jcmax: initial version

#REDIRECT [[Inyección_De_Comandos_En_Java]]

GSoC2013 Ideas

2013-04-17T15:33:55Z

Jcmax: addition of 2 project proposals

==OWASP Project Requests==
===OWASP WebGoatPHP===
'''Description:'''
[[Webgoat]] is a deliberately insecure open source software made by OWASP using Java programming language. It has a set of challenges and steps, each providing the user with one or more web application vulnerability which user tries to solve. There are also hints and auto-detection of correct solutions.
Since Java is not the most common web application programming language, and it doesn't have many of the bugs other languages such as PHP have when it comes to security, OWASP has [[OWASP_WebGoat_Reboot2012|dedicated in 2012]] an amount of $5000 for promotion of WebGoatPHP.

If you want to know more about WebGoatPHP, I suggest downloading and giving WebGoat a try. It is one of OWASP prides (about 200000 downloads).

'''Expected Results:''' WebGoatPHP will be a deliberately insecure PHP web application which operates in different modes. A contest mode where challenges are selected by an admin and the system starts a contest. Admins can open up hints for participants and manage everything. A workshop mode, where the educator has control of the most of application features, as well as feedback of user activities and is ideal for learning environments, and a single mode where someone can browse challenges and solve them.

'''Knowledge prerequisite:''' You just need to know PHP. You are supposed to define flawed systems, which is not the hardest thing. Familiarity with web application security and SQL is recommended.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]]

===OWASP CSRF Guard===
'''Description:''' [[Cross-Site_Request_Forgery_(CSRF)|CSRF]] is a complicated yet very effective web attack. The most important thing about CSRF is that it's hard to properly defend against it, specially when it comes to Web 2 and AJAX. We have had discussions on means of mitigating CSRF for years at OWASP, and are now ready to develop libraries for it. Many of the key ideas of this library can be found at [http://www.cs.sunysb.edu/~rpelizzi/jcsrf.pdf].

'''Expected Results:''' A transparent Apache 2 module properly mitigating all POST CSRF attacks, as well as a lightweight PHP library doing the same.

'''Knowledge prerequisites:''' Knowing CSRF and at least one way to defend against it, PHP, C/C++, Linux.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]]

===OWASP PHP Security Project===

'''Description:'''
OWASP PHP Security project plans to gather around secure PHP libraries, and provide a full featured framework of libraries for secure web applications in PHP, both as separate de-coupled libraries and as a whole secure web application framework. Many aspects of this project are already handled, and are being added to OWASP.

'''Expected Results: ''' Result of this project is much more security among PHP applications. Most PHP applications are vulnerable and there's no central approach to secure them (due to open source nature). Many people look at OWASP for such information.

'''Knowledge prerequisite:''' Anyone with adequate PHP programming language experience (possibly web application development in PHP). There are hard and easy parts of this project. For tougher parts, familiarity with security concepts, advanced SQL, and advanced PHP and web server configuration is required.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]]

===OWASP RBAC Project===
'''Description:''' ''For the last 6 years, improper access control has been the issue behind two of the Top Ten lists''.

RBAC stands for Role Based Access Control and is the de-facto access control and authorization standard. It simplifies access control and its maintenance for small and enterprise systems alike. NIST RBAC standard has four levels, the second level hierarchical RBAC is intended for this project.

Unfortunately because of many performance and development problems, no suitable RBAC implementation was available until recently, so developers and admins mostly used ACLs and other forms of simple access control methods, which leads to broken and unmaintainable access control over the time.

OWASP provides the RBAC project, as a stand-alone library with very fast access control checks and standard mature code-base. Currently [[PHPRBAC]] which is the PHP version of the RBAC project is released.

'''Expected Results:''' Standard NIST level 2 hierarchical RBAC libraries for different programming languages, specially web-based ones such as C/C++/Java/ASP/ASPX/Python/Perl/etc.

'''Knowledge prerequisite:''' Good SQL knowledge, library development schemes, familiarity with one of the programming languages.

'''Mentor:''' [[User:Abbas Naderi|Abbas Naderi]]

'''Skill Level:''' Advanced

For more info, visit [http://phprbac.net phprbac.net]

===OWASP XSSer Project===

XSSer has a correct engine implementation to search/exploit XSS vulnerabilities, but it is necessary to work on some different fields to obtain better results. Some of them are: to fight against "false positive" results, to implemenet a better human-readable output results and to develop some new features (like; CSSer, Code checks user inputs, etc...). Also, it will be nice to update the tool with more valid XSS vectors (DOM, DCP, reflected, etc...) and some "anti-anti-XSS" systems for more common browsers.

There is a roadmap on a pdf file with all tasks required to advance to next release of 'XSSer' (v1.7b - Total Swarm!)

Download: http://xsser.sourceforge.net/xsser/xsser-roadmap.pdf

'''Brief explanation:'''

Below is shown a structure of phases and milestones code areas.

Milestones:
• Phase 1: Core:
+ Bugfixing:
- False positives
- Fix “swarm” results
- Fix 'maximize' screen (bug reported)
- Add auto-update revision
- Fix multithreading (review)
- Research 'glibc' corruption

+ Add crawlering for POST+GET (auto test 'whole' page forms)
+ Update XSS payloads (vectors.py / DOM.py / DCP.py / etc...)
+ Advance Statistics results (show more detailed outputs)
+ Advance Exporting methods (create 'whitehat' reports (xml/json))
+ Advance “WebSockets” technology on XSSer 'fortune' option
+ Update Interface (GTK+)

• Phase 2: New features:
+ Add 'code pre-check' option: Users can set which code will return target's website, to try to evade false positive results.
+ Add 'CSSer' option: Payloads for CSS injections.
+ Research/Search anti-IDS/NIDS/IPS... codes to evade XSS filters.
+ BurpXSSer: Create a Burp plugin (with Jython libs)
+ ZAPXSSer: Create a ZAP plugin (with Jython libs)

'''Expected results:'''

* To deploy a new stable version of XSSer with GTk+/Web/Shell main features working propertly,

The code should be:

* Clean and easy to follow
* Include a full set of unit tests
* Include good documentation

'''Knowledge Prerequisite:'''

XSSer is written in Python, so a good knowledge of this language is recommended, as is knowledge of HTML and Javascript. Also, is necessary to have some knowledge of application security and more in concret about XSS techniques.

'''Skill Level:''' Medium

'''Mentor: epsylon (psy) - OWASP XSSer Project Leader'''

===OWASP ZAP: Dynamically Configurable actions===

ZAP provides various mechanisms which allow HTTP requests and responses to be changed dynamically. So (for example) a string in an HTTP request can automatically be changed to another string.

It also supports a scripting interface, which is very powerful but at the moment difficult to use.

This project would introduce something inbetween thess 2 options - a powerful way of defining (potentially) complex rules using a wizard based interface.

The challenge will be to make it as usable as possible while still providing a wide range of functionality.

'''Brief explanation:'''

This component would provide a set of highly configurable 'actions' which the user would see up via a wizard.

So they would initially define when the action applies, based on things like regex matching on request elements. And they should be able to define multiple criteria with ANDs and ORs.

Then they would define the actions, which could include:

* Changing the request (adding, removing or replacing strings)
* Raising alerts
* Breaking (to replace existing break points)
* Running custom scripts (which could do pretty much anything)

They would then be able to switch the actions on and off from the full list of defined actions using checkboxes

'''Expected results:'''

* A new ZAP add-on providing the above functionality
The code should be:
* Clean and easy to follow
* Include a full set of unit tests
* Include good documentation

'''Knowledge Prerequisite:'''

ZAP is written in Java, so a good knowledge of this language is recommended, as is knowledge of HTML. Some knowledge of application security would be useful, but not essential.

'''Mentor: Simon Bennetts - OWASP ZAP Project Leader'''

===OWASP ZAP: Enhanced HTTP Session Handling===

'''Brief explanation:'''

ZAP can currently manage multiple sessions. This development would allow ZAP to better handle HTTP Sessions to provide different views of a given target depending on the different user's permissions that the targeted site supports.

This implementation such provide a set of methods to answer questions such as: 1)What nodes(pages) are available to a group of users and not to other groups of users 2)What nodes are available to different users but these contain significant differences in the HTTP headers and/or in the body content.

This will allow ZAP to be used to detect access control issues which would otherwise require manual testing.
Expected results:

* ZAP will have an understanding of both users and roles and be able to associate them with HTTP sessions.
* The user will be able to associate credentials with different roles allowing ZAP to automatically authenticate as any user / role.
* ZAP will be able to spider an application using a given user/role.
* ZAP will be able to report the differences between different HTTP sessions.
* ZAP will be able to show different views of the site in the site's tree tab with the pages visible for each session.
* ZAP will be able to attack one session based on the URLs accessed in another session and report which appear to work.

'''Expected results:'''

Users will be able to:
* specify exactly which alerts are included, by context, site or on an individual alert basis
* specify what information is included and how it is layed out
* specify a range of output formats, at least including HTML and PDF
* include details of what testing has been performed (automatically generated where possible)
* apply their own branding
* save report templates, and apply templates downloaded from the ZAP marketplace
The code should be:
* Clean and easy to follow
* Include a full set of unit tests
* Include good documentation

'''Knowledge Prerequisite:'''

ZAP is written in Java, so a good knowledge of this language is recommended, as is knowledge of HTML and the HTTP protocol specification. Some knowledge of application security would be useful, but not essential.

'''Mentor: Guifre Ruiz - OWASP ZAP Dev Team'''

===OWASP ZAP: Exploring Advanced reporting using BIRT===

'''Brief explanation:'''

BIRT (Business Intelligence and Reporting Tools) is an open source development framework used for report development. The objective of the project is to explore the development of advance reports in OWASP ZAP using the BIRT Report Designer, which is a an Eclipse plug-in that utilizes BIRT technologies.

Reports can be designed using the BIRT Report Designer; however a complete integration within OWASP ZAP is the ideal solution. This can be achieve integrating BIRT with OWASP ZAP since the reporting application does not require the BIRT Report Designer user interface to generate a report.
The org.eclipse.birt.report.engine.api package contains the classes and interfaces that an application uses to generate reports. The main classes and interfaces are ReportEngine, EngineConfig, IReportRunnable, IRenderOption and its descendants, and IEngineTask and its descendants.

'''Expected results:'''

*Installed and Configured BIRT Environment into the Eclipse OWASP ZAP project ( this can be delivered as an independent project)
*Analysis report of the pros-and cons of using BIRT within OWASP ZAP as reporting tool
*Be able to Generate reports from the application using the BIRT report engine API.
*Creation of prototype reports regarding the results output of the Sessions & attacks such as: Alerts, History, Search etc.
*A new user interface for generating reports which is easy to use and provides the user with a wide range of options.

The code should be:
* Clean and easy to follow
* Include a full set of unit tests
* Include good documentation

'''Knowledge Prerequisite:'''

ZAP is written in Java, so a good knowledge of this language is recommended, as is knowledge of HTML. Some knowledge of application security would be useful, but not essential.

'''Mentor: Johanna Curiel'''

===OWASP ZAP - SAML 2.0 Support===

'''Brief explanation:'''

SAML 2.0 is an XML-based federated single sign-on (FSSO) protocol that uses security tokens containing assertions to pass information about a principal (usually an end user) between a SAML authority, that is an identity provider, and a SAML consumer, that is a service provider. SAML 2.0 enables web-based authentication and authorization scenarios including cross-domain single sign-on (SSO). SAML specifications support many ways, called profiles and bindings, to generate and transport assertions between trusted entities The Web Browser SSO profile is of particular interest here since it enables web applications from 2 separate domains to leverage SSO easily by exchanging assertions via a web browser session.

ZAP provides various mechanisms which allow HTTP requests and responses to be changed dynamically. This project will enhance those capabilities to be able to detect and fuzz various elements and attributes of a SAML Assertion.

The scope of this project is limited to the following SAML bindings, profiles and protocols:

Profiles :
* Web Browser SSO

Bindings:
* HTTP POST
* HTTP Redirect

Protocols:
* Authentication Request Protocol

'''Expected results:'''

This component would enable ZAP to:
* Detect SAML Assertions in HTTP requests and responses
* Decode SAML Assertions
* Fuzz various entities and attributes within a SAML assertion
* Re-encode the assertion and send it forward
The code should be:
* Clean and easy to follow
* Include a full set of unit tests
* Include good documentation

Users would have a choice either to fuzz the attributes within an assertion or just add/remove arbitrary attribute (to check for XML and SAML Schema Conformance).

'''Knowledge Prerequisite:'''

ZAP is written in Java, so a good knowledge of this language is recommended, as is knowledge of HTML and SAML 2.0 Protocol. Some knowledge of application security would be useful, but not essential. Understanding of SSO and Federated SSO is preferred.

'''Mentor: Prasad N. Shenoy'''

===OWASP ZAP: SOCKS support===

This project is to extend ZAP to act as an intercepting proxy for SOCKS 4 and 5.

'''Brief explanation:'''

Suggested phases include:

* Identifying suitable Java SOCKS libraries
* Evaluating the SOCKS support other security tools provide (eg Mallory and Burp)
* Enhance ZAP to provide an option to use SOCKS for all outgoing connections
* Enhance ZAP to act as invisible SOCKS proxy
* Display the SOCKS data in ZAP
* Support searching of SOCKS data
* Support breaking and changing the data manually
* Support fuzzing SOCKS data
* Support SOCKS authentication

The ZAP WebSockets addon should be used as an indication of how this could be achieved both technically and visually, but should not limit the implementation.

Each phase should be tested against 3rd party tools which use SOCKS and include stand alone unit tests.

'''Expected results:'''

ZAP will be able to act as a SOCKS proxy, displaying the data sent and allowing it to be intercepted and changed.

The code should be:
* Clean and easy to follow
* Include a full set of unit tests
* Include good documentation

'''Knowledge Prerequisite:'''

ZAP is written in Java, so a good knowledge of this language is recommended, as is knowledge of HTML. Some knowledge of application security would be useful, but not essential.

'''Mentor: Simon Bennetts - OWASP ZAP Project Leader'''

===OWASP Security Research and Development Framework ===

'''Brief explanation:'''

This is a free open source Development Framework created to support writing security tools and malware analysis tools. And to convert the security researches and ideas from the theoretical approach to the practical implementation.

This development framework created mainly to support the malware field to create malware analysis tools and anti-virus tools easily without reinventing the wheel and inspire the innovative minds to write their researches on this field and implement them using SRDF.

'''Targeted Applications:'''

* Packet Analysis Tools (Personal Firewalls, HIDS/HIPS, WAF, Network Analysis, Network Capture)
* Malware Analysis Tools (Static, Dynamic, Behavioral)
* Antivirus and Virus Removal Tools (Signature-based, Behavioral-based)

'''Features:'''

The User Mode Features:

* Assembler and Disassembler
* x86 Emulator
* Debugger
* PE Analyzer
* Process Analyzer (Loaded DLLs, Memory Maps … etc)
* MD5, SSDeep and Wildlist Scanner (YARA)
* API Hooker and Process Injection
* Backend Database, XML Serializer
* Packet Analysis Tool and Session Separation
* Protocol Analyzers for TCP,UDP,ICMP,ARP and Application Layer like HTTP and DNS
* and many more

The Kernel Mode Features:

* Object-oriented and easy to use development framework
* Easy IRP dispatching mechanism
* SSDT Hooker
* Layered Devices Filtering
* TDI Firewall
* File and Registry Manager
* Kernel Mode easy to use internet sockets
* Filesystem Filter

'''Future Plan'''

we need to do the following:

* WOW64 Hooker (Hooking system calls on wow64 processes .. it will be like an API hooker in a wrapper dll inside the wow64 processes)
* Improve our Kernel-Mode part to work on 64-bits and to implement NDIS, Kernel Sockets and Packet Filtering System (as we support TDI only and it's out-date)
* We need to implement SRDF in linux ... implement the file parsers and the packet analysis is easy .. but we need to implement memory analysis on linux and so on
* We need to improve the static analysis tools .. we need to implement the X-RAY and Recursive Disassembler Tool
* we need to improve our dynamic analysis tools ... we need to support more APIs in Pokas Emulator and need more beta-testing
* we need to create a tool that do emulation and debugging (we have a debugger in SRDF) for beta-testing
* we need to improve the Behavioral Analysis Tools ... if you have ideas in behavioral analysis that's will be great
* we need to implement more file formats like swf and rtf
* we need to implement srdf in python using SWIG
* we need more improvement on memory usage and detecting memory-leaks
* we need to implement OpenSBI virus classification file format
* we need to collect static unpacking codes (static means no debugger, no breakpoints, no kernel-mode and no emulator . just decrypt using equations) for known unpackers like upx, fsg and so on. as a library for developers
* we need to implement zip library to decompress and rar library for the same
* we need a Process Analyzer for 64 applications .. and could it be done by a wow64 process?

'''Knowledge Prerequisite:'''

We need variety of skills in different languages and platforms. We need a good knowledge in C++ in windows. We need a python developer for integrating SRDF in python. We need C++ developers have a good knowledge in Assembly (for working in disassembling part) and we need C++ developers have a knowledge in Kernel-Mode(for Kernel-Mode improvement and beta-testing)

'''Mentor: Amr Thabet - OWASP Security Research and Development Framework Project Leader'''

=== OWASP ModSecurity CRS - Create "Sniffer-Mode" ===

'''Brief explanation:'''

The ModSecurity code includes a "standalone" version that wraps a light weight Apache/APR around the ModSecurity code. This is used as the basis for the ports to the IIS/Nginx web server platforms. The goal for this project task is to extend this standalone version so that it can accept a data feed of network traffic (e.g. libpcap) data as input and apply the ModSecurity CRS rules. One possible solution would be create a ModSecurity "plugin" for the Snort IDS.

'''Expected results:'''

This new sniffer mode would allow organizations to run ModSecurity/OWASP ModSecurity CRS in an out of line mode as they do IDS systems.

'''Knowledge Prerequisite:'''

C programming and ModSecurity Development Guidelines - http://www.modsecurity.org/developers/.

'''Mentor: Ryan Barnett - OWASP ModSecurity Core Rule Set Project Leader'''

=== OWASP ModSecurity CRS - Port to Java ===

'''Brief explanation:'''

The goal is to have a ModSecurity version that can be used within Java servers (e.g. Tomcat). There may be methods to use JNI to call the standalone code from a filter in Tomcat.

'''Expected results:'''

This new version allow organizations to run ModSecurity/OWASP ModSecurity CRS in Java web servers.

'''Knowledge Prerequisite:'''

C programming and ModSecurity Development Guidelines - http://www.modsecurity.org/developers/.

'''Mentor: Ryan Barnett - OWASP ModSecurity Core Rule Set Project Leader'''

=== OWASP ModSecurity CRS - Implement libinjection Code ===

'''Brief explanation:''' https://www.modsecurity.org/tracker/browse/MODSEC-327

libinjection (https://github.com/client9/libinjection) is a C library that detects SQLi attacks in user input. It is designed to be embedded in existing or new applications:

*Fast > 100k inspections per second
*No memory allocation
*No threads
*Stable memory usage (approximately 500 bytes on stack)
*500 lines of C code (plus a few kiobytes of data)

It is based on lexical analysis of SQL and SQLi attempts and does not use regular expressions.

'''Expected results:'''

The new C code in ModSecurity will allow us to add new SQL Injection detection methods to the OWASP ModSecurity CRS.

'''Knowledge Prerequisite:'''

C programming and ModSecurity Development Guidelines - http://www.modsecurity.org/developers/.

'''Mentor: Ryan Barnett - OWASP ModSecurity Core Rule Set Project Leader'''

=== OWASP ModSecurity CRS - Implement DoS Prevention Code ===

'''Brief explanation:''' https://www.modsecurity.org/tracker/browse/MODSEC-265

Implement a request velocity learning engine to identify dynamic DoS thresholds for both the site and for the particular URL.

'''Expected results:'''

The new C code in ModSecurity will allow us to add new DoS Protection methods to the OWASP ModSecurity CRS.

'''Knowledge Prerequisite:'''

C programming and ModSecurity Development Guidelines - http://www.modsecurity.org/developers/.

'''Mentor: Ryan Barnett - OWASP ModSecurity Core Rule Set Project Leader'''

=== OWASP ModSecurity CRS - Create a Positive Learning/Profile Engine ===

'''Brief explanation:''' https://www.modsecurity.org/tracker/browse/MODSEC-193

ModSecurity needs a profiling engine that implements the various AppSensor Detection Points - http://blog.spiderlabs.com/2011/08/implementing-appsensor-detection-points-in-modsecurity.html.

'''Expected results:'''

The new engine will implement more detection points to detect abnormal request attributes.

'''Knowledge Prerequisite:'''

C programming and ModSecurity Development Guidelines - http://www.modsecurity.org/developers/.

'''Mentor: Ryan Barnett - OWASP ModSecurity Core Rule Set Project Leader'''

=== OWASP ModSecurity CRS - Create an Engine to Detect Application Flow Anomalies ===

'''Brief explanation:'''

Need an engine that can track normal application flow paths (click-flows) for business logic transactions - such as transferring money from accounts. After profiling normal application path flows, we want to then be able to alert to anomalies. This type of logic can help to prevent Banking Trojan attacks.

'''Expected results:'''

The engine will be able to alert on anomalous application flows.

'''Knowledge Prerequisite:'''

C programming and ModSecurity Development Guidelines - http://www.modsecurity.org/developers/.

'''Mentor: Ryan Barnett - OWASP ModSecurity Core Rule Set Project Leader'''

=== OWASP OWTF - Stateful Browser with configurable authentication ===

'''Brief explanation:'''

The automated functionality of OWASP OWTF is currently limited to the non-authenticated portion of a website. We would like to implement authentication support through:

1) OWTF parameters

2) Configuration files

What we would like to do here is to leverage the [http://wwwsearch.sourceforge.net/mechanize/ powerful mechanize python library] and build at least support for the following authentication options:
* Basic authentication - As requested here: [https://github.com/7a/owtf/issues/9 https://github.com/7a/owtf/issues/9]. .
* Cookie based authentication
* Form-based authentication

Additionally, we would welcome here a feature to detect when the user has been logged off, to log OWTF back in again before retrying the next request. <-- The proxy is probably a better place to implement this since external tools would also benefit from this. This feature will have to be coordinated with the MiTM proxy project below.

The solution will ideally be as simple and extensible as possible so that the codebase does not become unmaintanable.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* High performance
* Reliability
* Ease of use
* Test cases
* Good documentation

'''Knowledge Prerequisite:'''

Python, experience with the mechanize library or HTTP state is very welcome but not strictly necessary, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''Mentor: Abraham Aranguren - OWASP OWTF Project Leader - Contact: name.surname@owasp.org'''

=== OWASP OWTF - Inbound Proxy with MiTM and caching capabilities ===

'''Brief explanation:'''

At the moment one of the most seriously lacking features of OWASP OWTF is the Inbound proxy. Desired features here include:
* Proxy mode: Ability to start OWTF in "proxy mode" so that a human can review a site manually while taking advantage of all the OWTF grep plugins, without launching any tools.
* Proxy cache: At present, OWTF runs external tools to save time to a human pentester, the proxy cache would make OWTF smart enough to make external tools use the OWTF proxy and then avoid sending identical requests to the site (i.e. if 30 tools run by OWTF try to request X, OWTF will only make 1 request and not 30 anymore). OWTF should also be smart enough to use its own cache obviously :). The cache should be smart enough to detect lack of disk space and crashing :).
* Proxy throttling: We would like the proxy to auto-adjust speed to the speed of the target (i.e. based on how slower response times are getting) in a configurable fashion
* Proxy retry: We would like to have the ability to retry failed requests in an automated fashion for a configurable number of times
* Proxy MiTM: Proxy Man in The Middle capabilities are a must on any web app security tool. We need the ability to create a fake certificate on the fly to intercept and be able to analyse communications going to and from an "https" site.
* HTTP Transaction storage: The whole point here is of course, to store the HTTP transactions in the same way

Potential python libraries and references that could help here are:
* http://twistedmatrix.com/documents/10.0.0/api/twisted.web.proxy.Proxy.html
* https://github.com/moxie0/sslstrip
* https://github.com/7a/owtf/tree/master/framework/http <-- Current WIP OWTF state in this regard

The solution will ideally be as simple and extensible as possible so that the codebase does not become unmaintanable.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Additional Information and Suggestions (based on student questions):'''
* "Inbound" is used here to differenciate from the existing outbound proxy functionality in OWTF (-x switch), in practice, the "inbound" proxy will have to refactor/reimplement the "outbound" proxy functionality: Therefore this is both inbound and outbound obviously.

'''Expected results:'''

* Increased overall performance: We should only be sending each probe once ever if several tools try to send the same HTTP request multiple times.
* Additional HTTP transactions logged for analysis
* Test cases
* Good documentation

'''Knowledge Prerequisite:'''

Python, previous exposure to Twisted Proxy or other python HTTP proxies will be very welcome here, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''Mentor: Abraham Aranguren - OWASP OWTF Project Leader - Contact: name.surname@owasp.org'''

=== OWASP OWTF - Reporting ===

'''Brief explanation:'''

A common complaint about OWASP OWTF so far has been that the report is not very shiny. The intention here is to:
* Move as much of the HTML away from python files into template files: This will facilitate web designer's work in the future.
* Apply some nice web design to the report so that it is more nice and comfortable to work with: Clear the HTML, CSS, etc
* Identify and fix areas of improvement in click flow: For example, try to reduce the distance to move the mouse (mouse is sweeping left to right all the time now to rank vulnerabilities and then click on the next plugin)
* Improve the interactive report load time: The report will be pretty big when you scan 30+ websites, we might have to change things so that each plugin is retrieved via AJAX instead of loading every iframe on load
* Reduce the interactive report load and improve responsiveness: Big reports can take a few seconds to load and warnings like "this site is not responding" are undesired, we would like to reduce the HTML and JavaScript load to make the report faster to use.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Additional Information and Suggestions (based on student questions):'''

* Play with the interactive reports to see where we are now (get the OWTF 0.15 one, no need to install anything): [https://github.com/7a/owtf_demos https://github.com/7a/owtf_demos]
* Reports are created with [https://github.com/7a/owtf/tree/master/framework/report https://github.com/7a/owtf/tree/master/framework/report] and [https://github.com/7a/owtf/tree/master/includes https://github.com/7a/owtf/tree/master/includes] producing interactive reports such as [https://github.com/7a/owtf_demos https://github.com/7a/owtf_demos]
* How it works at the moment: Each plugin creates its own small report which is loaded by the main report in an iframe, this will make more sense when you play with the interactive demos and look at the source.
* How the report is meant to be used: I would suggest to watch the live demos in this talk to get the drift of this (Demos start after 1h approx.): [http://www.rubcast.rub.de/index2.php?id=1009 http://www.rubcast.rub.de/index2.php?id=1009]
* How the report is created now: Each plugin report is created right after each plugin finishes, then the master report is reassembled again: This approach is not very efficient so I am open to alternatives. Not all plugins run tools, some plugins run OWTF checks. But the report will be re-written each time a plugin finishes (using the current approach)
* Report output file formats at the moment are: .txt (for tool output and some checks) and .html (for tool output and the report itself)
* Project documentation links: [https://github.com/7a/owtf/tree/master/readme https://github.com/7a/owtf/tree/master/readme], [https://github.com/7a/owtf/wiki https://github.com/7a/owtf/wiki], [http://www.slideshare.net/abrahamaranguren/presentations http://www.slideshare.net/abrahamaranguren/presentations]

'''Expected results:'''

* The first reaction when an OWASP OWTF users opens the report is now "wow"
* The report is reliable and easy to work with, even when more than 30 URLs have been assessed (i.e. a lot of data in the report does not crash or make the browser slow)
* The improved design is lightweight and keeps the browser responsive at all times

'''Knowledge Prerequisite:'''

HTML, JavaScript, CSS and a bit of Python. Web Designer background or experience would be beneficial for this.

'''Mentor: Abraham Aranguren - OWASP OWTF Project Leader - Contact: name.surname@owasp.org'''

=== OWASP OWTF - Multiprocessing ===

'''Brief explanation:'''

OWASP OWTF can be quite slow when scanning multiple URLs simultanously due to not scanning several hosts in parallel. We would like to use the multiprocessing python library over the threading one to take full advantage of multi-core processors without the global interpreter lock (GIL) issues associated with the threading libary :)
* We would like to scan in parallel several websites when on a different IP:
* We would like to monitor the host machine resources to avoid crashing it before spawning new processes :)
* We would like to run plugins in parallel as much as possible but without compromising integrity: Using file locks where appropriate and so on

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Additional Information (based on student questions):'''

OWTF works by targets, where a target can be:
* A URL: For web plugins
* Anything else (i.e. an email, an IP address): For aux plugins

This is done here: [https://github.com/7a/owtf/blob/master/framework/plugin/plugin_handler.py#L257 https://github.com/7a/owtf/blob/master/framework/plugin/plugin_handler.py#L257]

For multiprocessing you would probably need to change the following so that a new process is launched for each IP address:
[https://github.com/7a/owtf/blob/master/framework/plugin/plugin_handler.py#L271 https://github.com/7a/owtf/blob/master/framework/plugin/plugin_handler.py#L271]

The way it works is that the plugin handler sends URLs to the plugins, so plugins are responsible for the checks while the plugin handler is responsible for distributing the work. This means multiprocessing will require changing the plugin handler but should not require to change the plugins (at least most of them).

'''Expected results:'''

* Reliability
* Test cases
* Good documentation

'''Knowledge Prerequisite:'''

Python, multiprocessing experience would be beneficial for this, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''Mentor: Abraham Aranguren - OWASP OWTF Project Leader - Contact: name.surname@owasp.org'''

=== OWASP OWTF - SQL database ===

'''Brief explanation:'''

OWASP OWTF scans may take a large amount of disk space due to saving information in text files, we would like to add an option to use a SQL database, probably using the sqlalchemy python library.
* Keep the current text file format as an option
* Add a database storage option using the sqlalchemy library

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* Reliability: Both with the sql database option and the text file options.
* Test cases
* Good documentation

'''Knowledge Prerequisite:'''

Python, sqlalchemy experience would be beneficial for this

'''Mentor: Abraham Aranguren - OWASP OWTF Project Leader - Contact: name.surname@owasp.org'''

=== OWASP OWTF - Unit Test Framework ===

'''Brief explanation:'''

As OWASP OWTF grows it makes sense to build custom unit tests to automatically re-test that functionality has not been broken. In this project we would like to create a unit testing framework so that creating OWASP OWTF unit tests is as simple as possible. The goal of this project is to create the Unit Test Framework and as many unit tests as possible to verify OWASP OWTF functionality.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* Performant and automated regression testing
* Unit tests for a wide coverage of OWASP OWTF, ideally leveraging the Unit Test Framework where possible
* Good documentation

'''Knowledge Prerequisite:'''

Python, experience with unit tests and automated regression testing would be beneficial, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''Mentor: Abraham Aranguren - OWASP OWTF Project Leader - Contact: name.surname@owasp.org'''

=== OWASP OWTF - Python version upgrade and compatibility ===

'''Brief explanation:'''

Right now OWASP OWTF works on Python 2.6.5-2.7.3 (might work on surrounding versions too), the aim of this project would be to change the existing codebase so that it additionally works on newer python versions too, for example Python 3.3.
The intention here is to take advantage of improvements in newer python versions when available while letting OWASP OWTF work on older python versions too (i.e. 2.6.5) if that is the only option available.
The solution will ideally be as simple and extensible as possible so that the codebase does not become unmaintanable due to compatibility.

For background on OWASP OWTF please see: [https://www.owasp.org/index.php/OWASP_OWTF https://www.owasp.org/index.php/OWASP_OWTF]

'''Expected results:'''

* Performant and reliable OWASP OWTF execution on multiple python versions, in particular the latest python version (i.e. 3.3.x) as well as the previous 2.6.5-2.7.3 range.
* Test cases
* Good documentation

'''Knowledge Prerequisite:'''

Python, experience with python version upgrades and python version compatibility implementations, some previous exposure to security concepts and penetration testing is welcome but not strictly necessary as long as there is will to learn

'''Mentor: Abraham Aranguren - OWASP OWTF Project Leader - Contact: name.surname@owasp.org'''

=== OWASP Hackademic Challenges - New challenges and Improvements to the existing ones ===

''''Brief Explanation:'''

The challenges that have been implemented so far include: web application challenges covering several vulnerabilities included in the OWASP Top 10, cryptographic challenges, and entire virtual machines including several vulnerabilities.
New challenges need to be created in order to cover a broader set of vulnerabilities.
Also existing challenges can be modified to accept a broader set of valid answers, e.g. by using regular expressions.

Ideas on the project:

* Simulated simple buffer overflows
* SQL injections
* Man in the middle simulation
* Bypassing regular expression filtering
* Your idea here

'''Expected Results:'''

New cool challenges

'''Knowledge Prerequisites:'''

Comfortable in PHP, HTML and possibly Javascript. Good understanding of Application Security and related vulnerabilities.

'''' Νοte: ''''
The ideas on each proposed project are examples, it would be good if you undertook any of these but we equally value creativity and we are always looking for awesome new features to add to the project, so if you have an idea don't be shy, contact us. :-)

'''Mentor:''' Konstantinos Papapanagiotou - Hackademic Challenges Project Leader

=== OWASP Hackademic Challenges - Source Code testing environment ===

''''Brief Explanation:'''

Existing challenges are based on a dynamic application testing concept. We would like to work on a project that will give the capability to the attacker to review a vulnerable piece of source code, make corrections and see the result in a realistic (but yet safe) runtime environment. The code can either be run if needed or tested for correctness and security. The implementation challenges of such a project can be numerous, including creating a realistic but also secure environment, testing submitted solutions and grading them in an automatic manner. At the same time there are now numerous sites that support submitting code and then simulate or implement a compiler's functionality.

'''Expected Results:'''

A source code testing and improvement environment where a user will be able to review, improve and test the result of a piece of source code.

'''Knowledge Prerequisites:'''

Comfortable in PHP, HTML and possibly Java. Good understanding of Application Security, source code analysis and related vulnerabilities.

'''' Νοte: ''''
The ideas on each proposed project are examples, it would be good if you undertook any of these but we equally value creativity and we are always looking for awesome new features to add to the project, so if you have an idea don't be shy, contact us. :-)

'''Mentor:''' Konstantinos Papapanagiotou - Hackademic Challenges Project Leader

=== OWASP Hackademic Challenges - CMS improvements ===

''''Brief Explanation:'''

The new CMS was created during last year's GSOC. We have received feedback from users that suggest various improvements regarding functionality e.g. better user, teacher and challenges management. There are also some security improvements that are needed and in general any functionality that adds up to the educational nature of the project is more than welcome.

Ideas on this project:

* '''Plugin api and plugin actions interface'''

An easy way for users to code their own plugins which will modify the appearance of hackademic or add to the functionality.

* '''Ability to show different articles on the user's home screen'''

Now each user is served the latest article in her/his home screen. We need the ability for either the teacher/admin to be able to define what article each class is served.

* '''Ability to define series of challenges'''

The teacher/admin should be able to define a series of challenges (e.g. 2,5,3,1) which are meant to be solved in that order and if one is not solved then the student can't try the next one.

* ''' Tagging of articles, users, challenges '''

A user should be able to put tags on articles and challenges if he is a student and on users, classes, articles and challenges if he is a teacher.
Also the user should be able to search according to the tags.

* '''Your idea here'''

We welcome new ideas to make the project look awesome.

'''Expected Results:'''

New features and security improvements on the CMS part of the project.

'''Knowledge Prerequisites:'''

Comfortable in PHP and HTML. Good understanding of Application Security and related vulnerabilities if you undertake security improvements.

'''' Νοte: ''''
The ideas on each proposed project are examples, it would be good if you undertook any of these but we equally value creativity and we are always looking for awesome new features to add to the project, so if you have an idea don't be shy, contact us. :-)

'''Mentor:''' Konstantinos Papapanagiotou - Hackademic Challenges Project Leader

===OWASP ESAPI/Java WAF - Release level===
'''Description:'''
[[OWASP_WAF_Project]] is an embedded WAF based on [[The_ESAPI_Web_Application_Firewall_(ESAPI_WAF)]] Web Application Firewall. Unlike other open source solutions. JAVA WAF works as a java filter and thus integrates with protected application in an natural way. Also, since the WAF is embedded into the application it "travels" with it, this is, migrating a protected application to another environment does not imply reinstallation, reconfiguration or any additional effort that might render the application unprotected at any time after WAF is initially configured.

'''Expected Results:''' ESAPI WAF is beta level and provides good protection as it is. However, some synchronization issues identified, lack of compatibility with any other OWASP tools and massive lack of documentation, made it hard to use. Final result of the project will be a production/release level WAF with massive Unit testing of all functionality, ModSecurity log format, user friendly documentation (including a user guide, examples of protection using WebGoat or Swingset) and proven stability by doing basic performance testing.

'''Knowledge prerequisite:''' Java Web and Java Filter programming, JUnit unit testing. Filter programming is simple so it is not really a prerequisite as could be learned in short time. It is desirable to be familiar with Request and response Wrappers, and mod-security logs.

'''Mentor:''' [[User:jcmax |Juan Carlos Calderon]]

===OWASP Classic ASP ESAPI rewrite===
'''Description:'''
[[Classic_ASP_Security_Project]] is a port of the famous ESAPI for Java. In particular, Classic ASP version works with ASP.NET port by using Interop. However interop technology is not stable and has many issues like many requirements to work properly, non understandable error messages, unexpected errors and dependencies to third party libraries. Also ASP.NET version of ESAPI is not release level.

25 years later there are still millions of applications on the wild as proven by the massive automated Sql injections targeting Classic ASP pages in later years. An effective solution that does not require complete rewriting of applications is still required.

'''Expected Results:''' A new ESAPI for classic ASP applications that will be based on good old COM+ components or .NET HTTP Modules. This inital version should provide protection against most pervasive issues and thus will include functionality for input validation, output encoding, basic encryption, file and DB based authentication/authorization. If time is left additional ESAPI functionality might be also included. An installation Guide and a comparative of functionality with Java ESAPI. Proper Unit testing for all functionality. No user manual as Java version documentation will be used for that purpose.

'''Knowledge prerequisite:''' Classic ASP, either COM+ (Visual Basic or any C++ COM framework) or ASP.NET HTTP Modules programming. NUnit unit testing. HTTP Module programming is simple so it is not really a prerequisite as could be learned in short time. Experience with JAVA ESAPI is a plus.

'''Mentor:''' [[User:jcmax |Juan Carlos Calderon]]

OWASP Day Mexico 2011/es

2011-12-19T19:03:06Z

Jcmax: eliminé boton de registro

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/6/65/ConferenciaOWASP-Ivonne-20111111.pdf Proteccion de datos personales en Mexico ] '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=4>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
</gallery>

'''[http://www.facebook.com/groups/139474872803608 See more photos on event's facebook Group]'''

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Pablo Lugo (Voluntario)
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

OWASP Day Mexico 2011/es

2011-11-22T19:46:07Z

Jcmax: /* Fotos */

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/6/65/ConferenciaOWASP-Ivonne-20111111.pdf Proteccion de datos personales en Mexico ] '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=4>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
</gallery>

'''[http://www.facebook.com/groups/139474872803608 See more photos on event's facebook Group]'''

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Pablo Lugo (Voluntario)
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

OWASP Day Mexico 2011/es

2011-11-22T19:13:18Z

Jcmax: /* Fotos */ changed photos

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/6/65/ConferenciaOWASP-Ivonne-20111111.pdf Proteccion de datos personales en Mexico ] '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=5>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
File:OWASPDayMexico2011_(9).jpg
File:OWASPDayMexico2011_(10).jpg
File:OWASPDayMexico2011_(11).jpg
File:OWASPDayMexico2011_(12).jpg
File:OWASPDayMexico2011_(13).jpg
File:OWASPDayMexico2011_(14).jpg
</gallery>

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Pablo Lugo (Voluntario)
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

OWASP Day Mexico 2011/es

2011-11-18T23:49:03Z

Jcmax: /* Fotos */ added more photos

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/6/65/ConferenciaOWASP-Ivonne-20111111.pdf Proteccion de datos personales en Mexico ] '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=5>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
File:OWASPDayMexico2011_(9).JPG
File:OWASPDayMexico2011_(10).JPG
File:OWASPDayMexico2011_(11).JPG
File:OWASPDayMexico2011_(12).JPG
File:OWASPDayMexico2011_(13).JPG
File:OWASPDayMexico2011_(14).JPG
</gallery>

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Pablo Lugo (Voluntario)
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

File:OWASPDayMexico2011 (14).jpg

2011-11-18T23:47:16Z

Jcmax: Manuel Lopez at OWASP Day Mexico 2011

Manuel Lopez at OWASP Day Mexico 2011

File:OWASPDayMexico2011 (13).jpg

2011-11-18T23:47:03Z

Jcmax: Juan Carlos Calderon at OWASP Day Mexico 2011

Juan Carlos Calderon at OWASP Day Mexico 2011

File:OWASPDayMexico2011 (10).jpg

2011-11-18T23:46:38Z

Jcmax: Alejandro Reyes at OWASP Day Mexico 2011

Alejandro Reyes at OWASP Day Mexico 2011

File:OWASPDayMexico2011 (11).jpg

2011-11-18T23:46:13Z

Jcmax: Audience at OWASP Day Mexico 2011

Audience at OWASP Day Mexico 2011

File:OWASPDayMexico2011 (12).jpg

2011-11-18T23:46:01Z

Jcmax: Ivonne Muñoz at OWASP Day Mexico 2011

Ivonne Muñoz at OWASP Day Mexico 2011

File:OWASPDayMexico2011 (9).jpg

2011-11-18T23:45:24Z

Jcmax: Pablo Lugo at OWASP Day Mexico 2011

Pablo Lugo at OWASP Day Mexico 2011

OWASP Day Mexico 2011/es

2011-11-18T18:44:18Z

Jcmax: /* Presentaciones */ added Ivonne presentation

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/6/65/ConferenciaOWASP-Ivonne-20111111.pdf Proteccion de datos personales en Mexico ] '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [http://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [http://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=4>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
</gallery>

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Pablo Lugo (Voluntario)
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

File:ConferenciaOWASP-Ivonne-20111111.pdf

2011-11-18T14:23:39Z

Jcmax: Conferencia Ivonne Muñoz en OWASP Day Mexico 2011

Conferencia Ivonne Muñoz en OWASP Day Mexico 2011

OWASP Day Mexico 2011/es

2011-11-16T15:00:05Z

Jcmax: /* Agradecimientos Especiales */ added pablo

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | Proteccion de datos personales en Mexico '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=4>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
</gallery>

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Pablo Lugo (Voluntario)
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

OWASP Day Mexico 2011/es

2011-11-16T05:00:03Z

Jcmax: /* Oro */

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | Proteccion de datos personales en Mexico '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=4>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
</gallery>

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

OWASP Day Mexico 2011/es

2011-11-16T04:59:00Z

Jcmax: /* Oro */

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | Proteccion de datos personales en Mexico '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=4>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
</gallery>

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]]
| [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

OWASP Day Mexico 2011/es

2011-11-16T04:44:25Z

Jcmax:

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/f/f4/SI_Regulaciones_Bancarias.pdf Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias] '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | Proteccion de datos personales en Mexico '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Fotos ===
<gallery perrow=4>
File:OWASPDayMexico2011.JPG
File:OWASPDayMexico2011_(2).JPG
File:OWASPDayMexico2011_(3).JPG
File:OWASPDayMexico2011_(4).JPG
File:OWASPDayMexico2011_(5).JPG
File:OWASPDayMexico2011_(6).JPG
File:OWASPDayMexico2011_(7).JPG
File:OWASPDayMexico2011_(8).JPG
</gallery>

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

File:SI Regulaciones Bancarias.pdf

2011-11-16T04:43:42Z

Jcmax:

File:OWASPDayMexico2011 (7).JPG

2011-11-16T04:42:59Z

Jcmax:

File:OWASPDayMexico2011 (8).JPG

2011-11-16T04:42:48Z

Jcmax:

File:OWASPDayMexico2011 (6).JPG

2011-11-16T04:42:09Z

Jcmax:

File:OWASPDayMexico2011 (5).JPG

2011-11-16T04:37:04Z

Jcmax:

File:OWASPDayMexico2011.JPG

2011-11-16T04:20:22Z

Jcmax:

File:OWASPDayMexico2011 (4).JPG

2011-11-16T04:20:03Z

Jcmax:

File:OWASPDayMexico2011 (2).JPG

2011-11-16T04:19:45Z

Jcmax:

File:OWASPDayMexico2011 (3).JPG

2011-11-16T04:19:39Z

Jcmax:

OWASP Day Mexico 2011/es

2011-11-16T03:54:16Z

Jcmax: Summary added

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Sumario ====
El OWASP Day Mexico 2011 ha terminado y estamos muy agradecidos con OWASP, nuestros patrocinadores, voluntarios y 170 asistentes por la experiencia, creemos que hemos logrado el objetivo de la conferencia que era incrementar la concientización sobre la problematica de la privacidad y seguridad en redes sociales en México, y espero que la experiencia haya sido satisfactoria tambien para ustedes.

=== Presentaciones ===

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | Proteccion de datos personales en Mexico '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 80%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

===Agradecimientos Especiales ===
Agradecemos al Tec De Monterrey Campus Aguascalientes por todo su apoyo en este evento, asi como a las siguientes personas por su apoyo durante el evento (en ningun orden en particular):

Clemente Gonzales (Promoción) 
Miguel Perez-Milicua (Voluntario) 
Roberto García (Voluntario) 
Luis Martinez Bacha (Tallerista) 
Jesus Muñoz (Tallerista) 
Viridiana (Maestra de Ceremonias) 
Betty Cardiel (Maestra de Ceremonias) 
Emmanuel Von (Becario)

===Patrocinadores ===
{| cellspacing="10" width="80%" border="0" align="left" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |
|}

==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

OWASP Day Mexico 2011/es

2011-11-16T03:30:55Z

Jcmax: /* Agenda */ agregamos presentaciones

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 100%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

==== Conferencia (Nov 11) ====
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>
<center>
=== Agenda ===
Expositores nacionales e internacionales de renombre nos compartirán su experiencia sobre seguridad informática y nos enriquecerán con información sobre la organización OWASP 
Nota: Algunos temas o presentadores marcados como "por confirmar" podrían cambiar

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/a/a3/Que_es_OWASP_Slides.pptx '''Conferencia de Apertura:''' ¿Que es OWASP?] '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | Proteccion de datos personales en Mexico '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/3/34/OWASP-hmc-phishing.pdf Resultados de Estudio Sobre Phishing en México] '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | [https://www.owasp.org/images/c/c3/Seguridad_para_Moviles_OWASP_DAY_V6.1_Final_Impresa.pdf Seguridad para Móviles (Smartphones)] '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | [https://www.owasp.org/images/7/7f/Presentacion_OWASP_seguridad2.0.pdf Seguridad 2.0] '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]

File:Que es OWASP Slides.pptx

2011-11-16T03:27:28Z

Jcmax: Presentation on OWASP by Juan Carlos Calderon at OWASP Day Mexico 2011

Presentation on OWASP by Juan Carlos Calderon at OWASP Day Mexico 2011

File:Seguridad para Moviles OWASP DAY V6.1 Final Impresa.pdf

2011-11-16T03:24:14Z

Jcmax: Presentation on Mobile Security by Alexandro Fernandez at OWASP Day Mexico 2011

Presentation on Mobile Security by Alexandro Fernandez at OWASP Day Mexico 2011

File:Presentacion OWASP seguridad2.0.pdf

2011-11-16T03:18:55Z

Jcmax: Presentation on Security 2.0 by Pablo Lugo at OWASP Day Mexico 2011

Presentation on Security 2.0 by Pablo Lugo at OWASP Day Mexico 2011

File:OWASP-hmc-phishing.pdf

2011-11-16T03:12:50Z

Jcmax: Presentation on Phishing by Helio Mier at OWASP Day Mexico 2011

Presentation on Phishing by Helio Mier at OWASP Day Mexico 2011

OWASP Day Mexico 2011/es

2011-11-11T07:06:46Z

Jcmax: /* Agenda */ Cambios finales en agenda

__NOTOC__

[[Image:ODM2011Banner.JPG|OWASP Day Mexico 2011|link=http://www.owaspdaymexico.org/]]
 
==== Inicio ====

{| style="width: 100%;"
|-
| style="width: 100%; color: rgb(0, 0, 0);" |
{| style="background: none repeat scroll 0% 0% transparent; width: 100%; -moz-background-inline-policy: continuous;"
|-
| style="width: 95%; color: rgb(0, 0, 0);" |
== OWASP Day Mexico 2011 (Noviembre 10-11) ==
{|
|-
| valign="top" width="70%"|
=== Seguridad "ciber social" y protección de datos personales en México ===
Este es el único evento en México especializado en seguridad en aplicaciones. México es uno de los países con mayor desarrollo de su ciber sociedad, con un buen alcance de Internet (Vea los [https://www.cia.gov/library/publications/the-world-factbook/geos/mx.html CIA World Facts]). Sin embargo, no hay la cultura cibernética necesaria para mantenerse protegido en las redes sociales, causando que seamos víctimas de robo de identidad fraude, phishing y más. 

En este evento conocerá el estado de la ciber seguridad en México y las mejores practicas y herramientas (tanto de código abierto como comerciales), para protegerse o proteger a su empresa de estas amenazas, el evento está dirigido a:

*Oficiales de Seguridad de la Información (CISO)
*Auditores y personal responsable de el cumplimiento de regulaciones de TI
*Personal y administradores de Seguridad
*Desarrolladores de aplicaciones
*Testers de Seguridad y aseguramiento de calidad (QA)
*Administradores de Proyectos
*Ejecutivos, Administradores y personal responsable del gobierno de TI
*Profesionales de TI interesados en mejorar la seguridad de sus TIs 

| valign="top" |

[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx]] 

=== Siga Nos ===

{|
|-
| style="border: 1px solid rgb(204, 204, 204); width: 100%; font-size: 95%; color: rgb(0, 0, 0); background-color: rgb(236, 236, 236);" |
[[File:twitter_32.png | link=http://twitter.com/OWASPDayMexico | Follow us on Twitter]]
[[File:facebook_32.png | link=http://www.facebook.com/groups/139474872803608 | Join our facebook group]]
[[File:linkedin_32.png | link=http://events.linkedin.com/OWASP-Day-Mexico-2011/pub/734383 | Share the LinkedIn Event]]
[[File:Feed_32_1.png | link=http://twitter.com/statuses/user_timeline/125847195.rss | Add us to your news feed]] 
Use el tag '''[http://search.twitter.com/search?q=%23OWASPDayMexico #OWASPDayMexico]''' para sus tweets (¿Que son los[http://hashtags.org/ hashtags]?)
'''@OWASPDayMexico Twitter Feed ([http://www.twitter.com/OWASPDayMexico siga nos en Twitter!])'''

| style="width: 100%; font-size: 95%; color: rgb(0, 0, 0);" |
|}

|-
|
| 
|}
|}

=== Equipo Coordinador ===
{| cellspacing="1" cellpadding="1" border="0" style="width: 100%; height: 116px; border: 1px solid #BBBBBB"
|-
| Juan Carlos Calderon Rojas 
| Coordinación General
| [mailto:juan.calderon@owasp.org juan.calderon@owasp.org] 
|-
| Elio Ramos 
| Logística y Vinculación Empresarial
| [mailto:elio.ramos@itesm.mx elio.ramos@owaspdaymexico.org]
|-
| Francisco Aldrete 
| Coordinación de Ponentes
| [mailto:francisco.aldrete@owasp.com francisco.aldrete@owasp.org] 
|-
| Mark Bristow 
| Coordinación de conferencias OWASP
| [mailto:mark.bristow@owasp.org mark.bristow@owasp.org] 
|}

|}

==== Cursos/Talleres (Nov 10) ====

{| border=0 cellspan=0 style="border: 1px solid #999999" width=850
|-
|
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>

==Lista de Cursos==

===Mobile Security (Impartido en inglés)===
'''Jason Rouse''' ''(Principal Consultant Cigital USA)'' 
- Aprenda de la mano de uno de los mejores expertos en seguridad para teléfonos móbiles, que ha publicado artículos para el Ney York times, y constante presentador en conferencias de OWASP y RSA. [http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Vea el temario completo aquí] 
- Horario: 10:00 AM - 6:00pm 
'''- Costo: 7000 MXN pesos + IVA individual - 5,000 MXN pesos + IVA en grupo de mínimo 5 personas - Oportunidad de pago en 3 parcialidades en cualquier caso, solo envienos un correo a [mailto:pagos@owaspdaymexico.org pagos@owaspdaymexico.org]''' 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

Mobile applications are becoming the heart of day-to-day activities for millions of people across the globe. This 1-day course introduces students to the mobile landscape and gives a solid overview of the threats and design goals inherent in secure mobile systems. Intended for a general audience, this course explains the basics of cellular networks, application loading, and secure design principles, and intends to arm students with the knowledge of both the largest mobile threats as well as the principles necessary to combat them. The course also introduces students to a number of the most popular mobile platforms and demonstrates various attacks.

[http://www.cigital.com/services/training/courses/ilt/creating-secure-mobile-applications.php Check Detailed Outline at Cigital]

[mailto:pagos@owaspdaymexico.com ASK FOR GROUPS DISCOUNT]

===Application Security Essentials ''(2,500 MXN pesos + IVA o 250 USD para extranjeros)''===
'''Ing. Luis Martinez Bacha''' ''(Ex-lider de programa de seguridad corporativo de Softtek)'' 
- Aprenda las vulnerabilidades mas comunes en aplicaciones, como explotarlas para penetrar en los sistemas y como evitarlas. Este es el conocimiento mínimo indispensable para todo profesional de TI, dado que 80% de las vulnerabilidades explotadas por los hackers de hoy en día están en las aplicaciones. 
- Horario: 10:00 AM - 6:00 PM 
- Ubicación: Oficinas de Nodus, Av. Aguascaliente Sur 2729, Col. Jardines de la Asunción, Aguascalientes Mexico. Frente a Hotel Quinta real

TEMARIO
I. Fundamentos de la Seguridad de la Información en las Organizaciones
1. Arquitectura de Seguridad de Información
2. Roles, competencias en la Infraestructura/Organización de Seguridad en empresas
3. Políticas, estándares y procedimientos de seguridad
4. Áreas de competencia de seguridad de TI
5. Amenazas en la implementación de un programa de Administración de Seguridad de Información
6. Respuesta a incidentes/emergencias de seguridad
II. Detección , Análisis y Evaluación de Vulnerabilidades dentro del Software (Ambientes Web)
1. Introducción al WebApp Security
2. Importancia del WebApp Security
3. Vulnerabilidades de Session Management y Access Controls
4. Vulnerabilidades de Inyección de Código:
a. Cross-site Scripting
b. SQL Injection
c. Remote Command Execution
5. Vulnerabilidades de Sever Intrusion
a. Local File Inclusion
b. Remote File Inclusion
6. Otras vulnerabilidades:
a. Path Traversal
b. Logic Flaws
7. Análisis y auditoría de código
8. Ataques zero-day
9. Metodología de Análisis.

===Taller: Phishing attacks''(1300 MXN pesos + IVA)''===
'''Jesus Muñoz''' ''(Gerente de Tecnología y Lead Trainer en Desarroll@)'' 
- Requisitos: Ninguno, el equipo de cómputo lo proveera Desarroll@ 
- Horario: 11:00 - 1:00PM (tentativo, puede cambiar a horario vespertino) 
- Ubicación: Instalaciones Desarroll@, Av. Ciencia y Tecnología 102,Aguascalientes, México C.P. 20328 | +(52) 449 - 1533090 

TEMARIO
1. Introducción
2. Phishing Methods
3. Process of Phishing
4. ARP Poisoning for session hijacking
5. DNS Poisoning
6. False Hotmail and facebook pages
7. Live practice, phishing.
8. Anti-phishing tools
 
|-
|}

''Si le gustaría tener una sesión de entrenamiento adicional a las listadas aqui, por favor contactenos, podemos negociar y encontrarle un instructor adecuado''

==== Conferencia (Nov 11) ====
<div style="float:right">[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]]</div>
<center>
=== Agenda ===
Expositores nacionales e internacionales de renombre nos compartirán su experiencia sobre seguridad informática y nos enriquecerán con información sobre la organización OWASP 
Nota: Algunos temas o presentadores marcados como "por confirmar" podrían cambiar

{| width="80%" class="t"
|-
| height="17" width="14%" align="right" | 09:00 - 09:30
| bgcolor="#8595c2" align="CENTER" | '''Recepción'''
|-
| height="17" width="14%" align="right" | 09:30 - 09:45
| bgcolor="#eeeeee" align="CENTER" | Ceremonia de Inauguración '''Ing. Francisco Flores''' ''Director de la Incubadora de Alta Tecnología del Tecnológico de Monterrey Campus Aguascalientes - "NODUS" e Invitados Especiales de Gobierno.''
|-
| height="49" width="14%" align="right" | 9:45 - 10:00
| bgcolor="#b9c2dc" align="CENTER" | '''Conferencia de Apertura:''' ¿Que es OWASP? '''Juan Carlos Calderon''' ''Miembro Fundador de Capítulo OWASP Aguascalientes y Líder de investigacion en Seguridad Informatica en Softtek''
|-
| height="17" width="14%" align="right" | 10:00 - 10:45
| bgcolor="#eeeeee" align="CENTER" | Implicaciones de Seguridad Informática en el Cumplimiento de Regulaciones Bancarias '''Manuel Lopez Arredondo''' ''Ingeniero Especialista en Seguridad Informática para Bank Of America''
|-
| height="17" width="14%" align="right" | 10:45 - 11:00
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="32" width="14%" align="right" | 11:00 - 12:00
| bgcolor="#b9c2dc" align="CENTER" | Proteccion de datos personales en Mexico '''Ivonne Muñoz''' ''Consultora en Derecho Informatico para Gobierno e industria privada y Autora del Libro: Delitos Informáticos en México, 10 años después (2010)''
|-
| height="47" width="14%" align="right" | 12:00 - 13:00
| bgcolor="#eeeeee" align="CENTER" | Ciber-crimen y ciber-seguridad en México '''Ing. Alejandro Reyes Plata''' ''Subdirector de Respuesta a Incidentes de Seguridad Informática de Policia Federal e integrante del CERT-MX''
|-
| height="17" width="14%" align="right" | 13:00 - 14:00
| bgcolor="#d98b66" align="CENTER" | '''Receso para Comida'''
|-
| height="47" width="14%" align="right" | 14:00 - 15:00
| bgcolor="#b9c2dc" align="CENTER" | Resultados de Estudio Sobre Phishing en México '''M.C. Helios Mier Miembro de la IEEE y CRIPTORED'''
|-
| height="32" width="14%" align="right" | 15:00 - 16:00
| bgcolor="#eeeeee" align="CENTER" | Seguridad para Móviles (Smartphones) '''Lic. Alexandro Fernandez CISSP, CISA, CISM, ISSPCS, CEH, ECSA, ISO 27001 LA, COBIT''' ''Senior Security Specialist at Sm4rt security services S.A. de C.V.''
|-
| height="17" width="14%" align="right" | 16:00 - 16:15
| bgcolor="#d98b66" align="CENTER" | '''Coffee Break'''
|-
| height="47" width="14%" align="right" | 16:15 - 17:15
| bgcolor="#b9c2dc" align="CENTER" | Seguridad 2.0 '''Pablo Lugo''' Ex-Gerente de auditoria corporativa de sistemas para Walmart México y Latinoamérica
|-
| height="17" width="14%" align="right" | 17:15 - 18:15
| bgcolor="#eeeeee" align="CENTER" | Panel : Ley de protección de datos en México, ¿estamos listos para 2012? '''Moderador: Betty Cardiel''' ''Gerente de Riesgo en Softtek ([http://www.linkedin.com/profile?viewProfile=&key=22110245&authToken=e6Un&authType=NAME_SEARCH&locale=en_US&srchindex=1&pvs=ps&goback=.fps_albertina+cardiel BIO])''
|-
| height="17" width="14%" align="right" | 18:15 - 18:45
| bgcolor="#cccccc" align="CENTER" | '''Cierre y Anuncio'''
|-
| height="17" width="14%" align="right" |  
| bgcolor="#FFFFFF" align="CENTER" |  
|-
| height="17" width="14%" align="right" | 21:00 - .. : ..
| bgcolor="#cccccc" align="CENTER" | '''Evento Social'''
|}
 

=== Inscripción ===
</center>

{| width="400" align="center"
| ''500 pesos + IVA''
| Público en General
|-
| ''250 pesos + IVA''
| Miembros de OWASP
|-
| ''250 pesos + IVA''
| Estudiantes
|-
| colspan="2" align="center" |
[[Image:Registrate_boton.png|link=http://www.owaspdaymexico.org/registro.aspx|130x30px]] 
|}

'''Pero... ¿Porque tan barato, este es un evento nacional con expositores internacionales?'''
#OWASP es una organización sin ánimo de lucro y solo desea cubrir los costos del evento
#Estamos buscando patrocinadores que nos ayuden a traer grandes expositores para usted
#Queremos promover la seguridad de aplicaciones en las compañías mexicanas y atraer tantos profesionales de TI, desarrolladores y dueños de empresas de todos tamaños como sea posible, así asistirán 3 o 5 profesionales de la empresa en ves de solo uno.

 '''Considere atender a alguna de nuestras sesiones de entrenamiento.'''

==== Sede ====

== Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) campus AGS ==

El OWASP Day México 2011 se llevará a cabo en el [http://www.ags.itesm.mx/ Tecnológico de Monterrey (ITESM)] [http://www.aguascalientes.gob.mx/ Aguascalientes], Mexico.

 El Tecnológico de Monterrey es actualmente un sistema universitario multicampus con recintos académicos en las diferentes regiones del país.

El prestigio que el Tecnológico de Monterrey gozó desde sus inicios, no sólo por su calidad académica sino también por la cultura emprendedora, de trabajo, de eficiencia y de responsabilidad que fomenta en sus estudiantes, motivó a sus egresados, provenientes de diferentes regiones de México, a promover la presencia del Tecnológico de Monterrey en sus ciudades de origen.

Lo anterior ha permitido percibir las diferentes necesidades regionales y formar profesionistas capaces de resolverlas, sin desarraigarlos de su lugar de origen; además, dado que el Tecnológico de Monterrey es un sistema con cobertura nacional, ha aceptado su responsabilidad de dar una respuesta válida a importantes retos del país.

Algunos de los egresados del Tecnológico de Monterrey son directivos de exitosas empresas de México y de Latinoamérica; por otra parte, es cada vez mayor la presencia de los egresados en puestos destacados del gobierno y de la administración pública.”

<gallery perrow=3>
File:ITESM_Ex1_1.jpg
File:ITESM_Ex2_1.jpg
File:ITESM_In1.jpg
File:ITESM_In2.jpg
File:ITESM_In3.jpg
File:ITESM_In4_1.jpg
</gallery>

==== Patrocinadores ====

== Patrocinadores ==
{| cellspacing="10" border="0" align="center" style="background: none repeat scroll 0% 0% transparent; -moz-background-inline-policy: continuous; color: white;"
|-
| align="center" |
== Patrocinadores Oro ==
|-
| align="center" | [[Image:Cigital_OWASP.GIF]] | [[File:Nodus.png|130x65px]]
|-
|  
|-
| align="center" |

== Patrocinadores Plata ==
|-
| align="center" | [[Image:Sm4rt_logo.jpg | 162x67 px ]]
|-
| align="center" |

== Patrocinadores Bronce ==
|-
|  
|-
|  
|}
<center>
Aun estamos solicitando patrocinadores para la conferencia. Los lugares se están acabando pronto !contáctenos hoy!. '''Mire los beneficios''' 
[[File:ODM Sponsor Spanish Icon.jpg | link=https://www.owasp.org/images/2/2a/OWASP_Day_M%C3%A9xico_Oportunidades_de_Patrocinio.pdf]]
 
</center>

==== Ubicación ====

== Viajando a Aguascalientes México ==
Aguascalientes tiene [http://aeropuertosgap.com.mx/ el aeropuerto internacional Lic Jesus Teran] con vuelos directos a la ciudad de México (MEX), Tijuana (TIJ), Los Angeles International (LAX), Houston International (HIA) y Dallas Fort Worth (DFW). 

==Ubicación de la ciudad==
Aguascalientes, esta ubicado en el corazón de México, 5 horas (en auto) al norte de la ciudad de Mexico y 2.5 horas de la ciudad de Guadalajara. 
[[File:GoogleMapAGS.jpg|link=http://maps.google.com/maps?f=q&source=s_q&hl=es&geocode=&q=aguascalientes+mexico&sll=37.0625,-95.677068&sspn=32.80241,78.75&ie=UTF8&hq=&hnear=Aguascalientes,+M%C3%A9xico&ll=24.086589,-103.754883&spn=18.824794,39.375&z=5&iwloc=A Aguascalientes Map | 675x478px | Mapa en Google]]
 
== Ubicación del ITESM==
Esta localizado en el noroeste de la ciudad 
[[File:GoogleMapITESMAGS.jpg|link=http://maps.google.com/maps?q=%22tecnologico+de+monterrey+campus+aguascalientes%22&hl=es&cd=1&ei=XOGZS-G0DZXqzASuodTPAQ&ie=UTF8&view=map&cid=4244354021587389073&iwloc=A&ved=0CBgQpQY&sa=X | 675x478px | Google Map]]

<headertabs />

[[Category:OWASP_AppSec_Conference]]