This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Spain/Meetings"
(→Local Meetings) |
(→Local Meetings) |
||
| Line 8: | Line 8: | ||
<b>Presentaciones</b> ofrecidas en nuestro congreso:<br> | <b>Presentaciones</b> ofrecidas en nuestro congreso:<br> | ||
| − | <b>[https://www.owasp.org/images/f/f3/VicenteAguilera_IV_OWASP_Spain_chapter_meeting.pdf Actuaciones realizadas en 2008 por el capítulo español de la OWASP]</b><br>Vicente Aguilera Diaz, OWASP Spain Chapter Leader. [http://www.owasp.org/index.php/Spain OWASP]< | + | <table width=100%> |
| − | Esta breve presentación muestra las acciones realizadas o relacionadas directamente con nuestro capítulo a lo largo de 2008, así como la previsión de algunas de las acciones que llevaremos a cabo en 2009.< | + | <tr> |
| − | < | + | <td bgcolor="#B3FF99"> |
| − | <b>[https://www.owasp.org/images/b/b5/W3af_owasp_spain_iv.pdf w3af: Un framework de test de intrusión web]</b><br>José Ramón Palanco, CEO. Hazent Systems< | + | <b>[https://www.owasp.org/images/f/f3/VicenteAguilera_IV_OWASP_Spain_chapter_meeting.pdf Actuaciones realizadas en 2008 por el capítulo español de la OWASP]</b><br>Vicente Aguilera Diaz, OWASP Spain Chapter Leader. [http://www.owasp.org/index.php/Spain OWASP] |
| − | El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa).< | + | </td> |
| − | < | + | </tr> |
| − | <b>[https://www.owasp.org/images/a/a1/Analisis_de_Eco.pdf Análisis de Eco]</b><br>Jesús Olmos González, Auditor Senior. [http://www.isecauditors.com Internet Security Auditors]< | + | <tr> |
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | Esta breve presentación muestra las acciones realizadas o relacionadas directamente con nuestro capítulo a lo largo de 2008, así como la previsión de algunas de las acciones que llevaremos a cabo en 2009. | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td bgcolor="#B3FF99"> | ||
| + | <b>[https://www.owasp.org/images/b/b5/W3af_owasp_spain_iv.pdf w3af: Un framework de test de intrusión web]</b><br>José Ramón Palanco, CEO. Hazent Systems | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa). | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td bgcolor="#B3FF99"> | ||
| + | <b>[https://www.owasp.org/images/a/a1/Analisis_de_Eco.pdf Análisis de Eco]</b><br>Jesús Olmos González, Auditor Senior. [http://www.isecauditors.com Internet Security Auditors] | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan "eco") con el objetivo | Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan "eco") con el objetivo | ||
| − | de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de "eco" en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques.< | + | de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de "eco" en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques. |
| − | < | + | </td> |
| − | <b>[https://www.owasp.org/images/c/c7/MS_SDL_IT_ProtegiendoElNegocio.pdf Microsoft Seguridad IT al descubierto]</b><br>Simon Roses Femerling, ACE Security Services. [http://www.microsoft.com Microsoft]< | + | </tr> |
| − | La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio.< | + | <tr> |
| − | < | + | <td bgcolor="#B3FF99"> |
| − | <b>[http://www.owasp.org/index.php/Spain A fresh look into Information Gathering]</b><br>Christian Martorella. Responsable de Auditoría. [http://www.s21sec.com/ S21sec]< | + | <b>[https://www.owasp.org/images/c/c7/MS_SDL_IT_ProtegiendoElNegocio.pdf Microsoft Seguridad IT al descubierto]</b><br>Simon Roses Femerling, ACE Security Services. [http://www.microsoft.com Microsoft] |
| − | En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web.< | + | </td> |
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio. | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td bgcolor="#B3FF99"> | ||
| + | <b>[http://www.owasp.org/index.php/Spain A fresh look into Information Gathering]</b><br>Christian Martorella. Responsable de Auditoría. [http://www.s21sec.com/ S21sec] | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web. | ||
| + | </td> | ||
| + | </tr> | ||
| + | </table> | ||
<br> | <br> | ||
| Line 31: | Line 69: | ||
<b>Presentaciones</b> ofrecidas en nuestro congreso:<br> | <b>Presentaciones</b> ofrecidas en nuestro congreso:<br> | ||
| − | <b>[https://www.owasp.org/images/b/be/OWASP_III_Amenazas_e_incidentes_en_aplicaciones_Web_v2.0_RaulSiles.pdf Amenazas e incidentes de seguridad en entornos Web: realidad o ficción]</b><br>Raúl Siles, Consultor de Seguridad independiente. [http://raulsiles.com raulsiles.com]< | + | <table width=100%> |
| − | Los entornos Web son uno de los objetivos principales en los ataques directos a organizaciones, y también actúan como medio de ataque sobre sus visitantes. La ponencia analiza amenazas, ataques e incidentes de seguridad reales que se están llevando a cabo en la actualidad sobre entornos Web corporativos, y sobre nuevos objetivos, las aplicaciones Web de los dispositivos embebidos.< | + | <tr> |
| − | < | + | <td bgcolor="#B3FF99"> |
| + | <b>[https://www.owasp.org/images/b/be/OWASP_III_Amenazas_e_incidentes_en_aplicaciones_Web_v2.0_RaulSiles.pdf Amenazas e incidentes de seguridad en entornos Web: realidad o ficción]</b><br>Raúl Siles, Consultor de Seguridad independiente. [http://raulsiles.com raulsiles.com] | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | Los entornos Web son uno de los objetivos principales en los ataques directos a organizaciones, y también actúan como medio de ataque sobre sus visitantes. La ponencia analiza amenazas, ataques e incidentes de seguridad reales que se están llevando a cabo en la actualidad sobre entornos Web corporativos, y sobre nuevos objetivos, las aplicaciones Web de los dispositivos embebidos. | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td bgcolor="#B3FF99"> | ||
<b>[https://www.owasp.org/images/6/61/Ataques_a_politicas_de_seguridad_segun_contexto.pdf Ataques a políticas de seguridad según contexto]</b><br> | <b>[https://www.owasp.org/images/6/61/Ataques_a_politicas_de_seguridad_segun_contexto.pdf Ataques a políticas de seguridad según contexto]</b><br> | ||
| − | Iñaki López/Daniel Cabezas, Responsables del Laboratorio de Seguridad Avanzada. [http://www.ey.com/global/content.nsf/Spain/Home Ernst&Young]< | + | Iñaki López/Daniel Cabezas, Responsables del Laboratorio de Seguridad Avanzada. [http://www.ey.com/global/content.nsf/Spain/Home Ernst&Young] |
| − | Se presentará una aproximación a cómo inferir información acerca de redes o websites objetivos, sus relaciones y políticas de seguridad en base a información recabada públicamente. Incluirá demostración práctica.<br> | + | </td> |
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | Se presentará una aproximación a cómo inferir información acerca de redes o websites objetivos, sus relaciones y políticas de seguridad en base a información recabada públicamente. Incluirá demostración práctica. | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td bgcolor="#B3FF99"> | ||
| + | <b>[https://www.owasp.org/images/7/71/Seguridad-Multinivel-OWASP-2008.pdf La seguridad multinivel en servidores web]</b><br>Luis Calero, Director Técnico. [http://www.pentest.es Pentest Consultores] | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | La ponencia versará sobre la aplicación práctica de la seguridad multinivel -MLS- así como de las distintas tecnologías de control de accesos existentes: -DAC, MAC, DBAC, RBAC, RSBAC- en la securización de servidores web. | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td bgcolor="#B3FF99"> | ||
| + | <b>[https://www.owasp.org/images/d/da/OWASP_Spain_20080314_Herramientas_de_an%C3%A1lisis_est%C3%A1tico_de_seguridad_del_c%C3%B3digo_estado_del_arte.pdf Herramientas de análisis estático de seguridad del código: estado del arte]</b><br>Luís Rodriguez Berzosa, Responsable del laboratorio software. [http://www.als-es.com/ Application LifeCycle Solutions] | ||
| + | </td> | ||
| + | </tr> | ||
| + | <tr> | ||
| + | <td align="justify" bgcolor="#c0e0e0"> | ||
| + | En esta ponencia se examina la situación actual de la clase de herramientas de análisis estático de seguridad, que sin ejecutar el código del software, tratan de identificar las vulnerabilidades explotables en las aplicaciones y servicios web. Se determina el estado del arte de las herramientas académicas y de código abierto, la oferta de OWASP en este dominio, los límites de esta tecnología, y se proponen algunas ideas para mejorar la difusión y la cobertura desde OWASP. | ||
| + | </td> | ||
| + | </tr> | ||
| + | </table> | ||
<br> | <br> | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Y algunas fotografías:<br> | Y algunas fotografías:<br> | ||
<center> | <center> | ||
| Line 107: | Line 175: | ||
</tr> | </tr> | ||
</table> | </table> | ||
| − | + | <br> | |
Y algunas fotografías:<br> | Y algunas fotografías:<br> | ||
<center> | <center> | ||
| Line 176: | Line 244: | ||
</tr> | </tr> | ||
</table> | </table> | ||
| − | + | <br> | |
Y algunas fotografías:<br> | Y algunas fotografías:<br> | ||
<center> | <center> | ||
Revision as of 19:54, 29 November 2008
Local Meetings
IV OWASP Spain Chapter Meeting: 21 de noviembre de 2008
Patrocinado por: Internet Security Auditors
Presentaciones ofrecidas en nuestro congreso:
|
Actuaciones realizadas en 2008 por el capítulo español de la OWASP |
|
Esta breve presentación muestra las acciones realizadas o relacionadas directamente con nuestro capítulo a lo largo de 2008, así como la previsión de algunas de las acciones que llevaremos a cabo en 2009. |
|
w3af: Un framework de test de intrusión web |
|
El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa). |
|
Análisis de Eco |
|
Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan "eco") con el objetivo de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de "eco" en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques. |
|
Microsoft Seguridad IT al descubierto |
|
La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio. |
|
A fresh look into Information Gathering |
|
En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web. |
III OWASP Spain Chapter Meeting: 14 de marzo de 2008
Patrocinado por: Internet Security Auditors
Presentaciones ofrecidas en nuestro congreso:
|
Amenazas e incidentes de seguridad en entornos Web: realidad o ficción |
|
Los entornos Web son uno de los objetivos principales en los ataques directos a organizaciones, y también actúan como medio de ataque sobre sus visitantes. La ponencia analiza amenazas, ataques e incidentes de seguridad reales que se están llevando a cabo en la actualidad sobre entornos Web corporativos, y sobre nuevos objetivos, las aplicaciones Web de los dispositivos embebidos. |
|
Ataques a políticas de seguridad según contexto |
|
Se presentará una aproximación a cómo inferir información acerca de redes o websites objetivos, sus relaciones y políticas de seguridad en base a información recabada públicamente. Incluirá demostración práctica. |
|
La seguridad multinivel en servidores web |
|
La ponencia versará sobre la aplicación práctica de la seguridad multinivel -MLS- así como de las distintas tecnologías de control de accesos existentes: -DAC, MAC, DBAC, RBAC, RSBAC- en la securización de servidores web. |
|
Herramientas de análisis estático de seguridad del código: estado del arte |
|
En esta ponencia se examina la situación actual de la clase de herramientas de análisis estático de seguridad, que sin ejecutar el código del software, tratan de identificar las vulnerabilidades explotables en las aplicaciones y servicios web. Se determina el estado del arte de las herramientas académicas y de código abierto, la oferta de OWASP en este dominio, los límites de esta tecnología, y se proponen algunas ideas para mejorar la difusión y la cobertura desde OWASP. |
Y algunas fotografías:
II OWASP Spain Chapter Meeting: 6 de julio de 2007
Patrocinado por: Internet Security Auditors
Presentaciones ofrecidas en nuestro congreso:
|
Seguridad en entornos financieros |
|
Ataques DoS en aplicaciones Web |
|
Trust, Security and Usability |
|
Programación segura: validación de entradas |
Y algunas fotografías:
I OWASP Spain Chapter Meeting: 16 de junio de 2006
Patrocinado por: Internet Security Auditors
Con la colaboración de: Centre de Supercomputació de Catalunya (CESCA)
Presentaciones ofrecidas en nuestro congreso:
|
La OWASP Foundation y los objetivos del capítulo español |
|
El proyecto OWASP Testing |
|
Fortificando Aplicaciones Web desde la capa de Red |
|
Web Forensics |
|
Capturando y explotando servidores de correo ocultos |
Y algunas fotografías:
