|
|
(257 intermediate revisions by 5 users not shown) |
Line 1: |
Line 1: |
− | {{Chapter Template|chaptername=Spain|extra=The chapter leader is [mailto:[email protected] Vicente Aguilera Díaz] (CISA, CISSP, ITIL, CEH Instructor, OPSA, OPST) | + | {{Inactive Chapter}} |
− | <paypal>Spain</paypal>
| |
− | |mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-spain|emailarchives=http://lists.owasp.org/pipermail/owasp-spain}}
| |
| | | |
− | == Sponsors == | + | {{Chapter Template|chaptername=CHANGE ME|extra=The chapter leader position is '''OPEN'''. |
− | <table width="100%">
| + | |meetupurl=CHANGEME|region=CHANGEME}} |
− | <tr>
| |
− | <td>Patrocinador del capítulo:</td>
| |
− | <td></td>
| |
− | <td>Número de miembros: <b>226</b>
| |
− | </td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>[http://www.isecauditors.com http://www.owasp.org/images/b/b6/Isecauditors_logo.jpg]
| |
− | </td>
| |
− | <td></td>
| |
− | <td valign=top>[https://lists.owasp.org/mailman/listinfo/owasp-spain Suscríbete] a nuestra lista de correo.</td>
| |
− | </tr>
| |
− | </table>
| |
− | | |
− | == Local Activities == | |
− | Existen múltiples formas de colaborar con nuestro capítulo.<br>
| |
− | <ul>
| |
− | <li>Participando en [http://www.owasp.org/index.php/Category:OWASP_Project proyectos] activos (documentación y herramientas)</li>
| |
− | <li>Proponiendo nuevos proyectos</li>
| |
− | <li>Discutiendo ideas en nuestra [http://lists.owasp.org/mailman/listinfo/owasp-spain lista] de correo</li>
| |
− | <li>Ponente en nuestros meetings</li>
| |
− | <li>Asistiendo a las conferencias</li>
| |
− | <li>Cediendo espacio para nuestros eventos</li>
| |
− | <li>Promoviendo y dando soporte a la OWASP en general</li>
| |
− | </ul>
| |
− | <br>
| |
− | Si deseas colaborar con el capítulo español de la OWASP, ya sea a nivel particular o a nivel de empresa/organismo, [mailto:[email protected] comunícanoslo].<br> | |
− | <br>
| |
| | | |
| == Local News == | | == Local News == |
| | | |
− | '''<font color=red>23/09/2008 - IV OWASP Spain Chapter Meeting</font>''' | + | '''Meeting Location''' |
− | <div align="justify">Es un placer anunciar un nuevo evento organizado por el capítulo español: el "IV OWASP Spain chapter meeting".
| |
− | | |
− | La asistencia es <b>GRATUITA</b>. Debido a la limitación del aforo, todos aquellos interesados en asistir deberán notificarlo previamente enviando un [mailto:[email protected] correo] incluyendo la palabra "INSCRIPCIÓN" en el asunto del mensaje. | |
− | | |
− | Por otro lado, el organismo (ISC)2 ha aprobado 1 CPE por cada hora de asistencia a nuestras conferencias. Los certificados de asistencia se entregarán a todos aquellos que lo hayan [mailto:[email protected] solicitado] previamente. | |
− | | |
− | </div>
| |
− | <table>
| |
− | <tr>
| |
− | <td><b>FECHA:</b></td>
| |
− | <td>viernes 21 de noviembre de 2008</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td><b>AGENDA:</b></td>
| |
− | <td></td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>15:30h</td>
| |
− | <td bgcolor="#B3FF99">Registro de asistentes.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>16:00h</td>
| |
− | <td bgcolor="#B3FF99">Bienvenida y presentación del evento. Vicente Aguilera Diaz. OWASP Spain Chapter Leader.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>16:10h</td>
| |
− | <td bgcolor="#B3FF99"><b>"w3af: Un framework de test de intrusión web".</b> José Ramón Palanco. CEO. Hazent Systems.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td></td>
| |
− | <td align="justify" bgcolor="#c0e0e0">El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa).</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>17:10h</td>
| |
− | <td bgcolor="#B3FF99"><b>"Análisis de eco en Aplicaciones Web".</b> Jesús Olmos González. Auditor Senior. Internet Security Auditors.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td></td>
| |
− | <td align="justify" bgcolor="#c0e0e0">Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan "eco") con el objetivo
| |
− | de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de "eco" en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>18:10h</td>
| |
− | <td bgcolor="#B3FF99">Coffe-break.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td></td>
| |
− | <td></td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>18:30h</td>
| |
− | <td bgcolor="#B3FF99"><b>"Microsoft Seguridad IT al descubierto".</b> Simon Roses Femerling. ACE Security Services. Microsoft.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td></td>
| |
− | <td align="justify" bgcolor="#c0e0e0">La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>19:30h</td>
| |
− | <td bgcolor="#B3FF99"><b>"A fresh look into Information Gathering".</b> Christian Martorella. Responsable de Auditoría. S21sec</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td></td>
| |
− | <td align="justify" bgcolor="#c0e0e0">En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>20:30h</td>
| |
− | <td bgcolor="#B3FF99">Despedida y cierre del evento. Vicente Aguilera Diaz. OWASP Spain Chapter Leader.</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td></td>
| |
− | <td></td>
| |
− | </tr>
| |
− | </table>
| |
− | <table>
| |
− | <tr>
| |
− | <td><b>LUGAR:</b></td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>IL3 - Institute for LifeLong Learning (Universitat de Barcelona)<br>C/ Ciutat de Granada, 131<br>08018 - BARCELONA</td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td></td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td><b>PATROCINADOR:</b></td>
| |
− | </tr>
| |
− | <tr>
| |
− | <td>Internet Security Auditors<br>www.isecauditors.com</td>
| |
− | </tr>
| |
− | </table>
| |
− | | |
− | | |
− | '''<font color=red>14/07/2008 - Inicio de un proyecto local sobre requerimientos legales en aplicaciones web</font>'''
| |
− | | |
− | Desde nuestro capítulo hemos iniciado un nuevo proyecto de ámbito local: [http://www.owasp.org/index.php/Spain/Projects/Requerimientos_Legales "Especificación de Requisitos Legales para Aplicaciones Web"].
| |
− | | |
− | La finalidad del proyecto es extraer aquellos aspectos de la legislación española que tienen repercusión sobre la especificación de requisitos de las aplicaciones Web, y construir una "Especificación de Requisitos Legales para Aplicaciones Web".
| |
− | | |
− | El proyecto se encuentra liderado por Evangelino Valverde Álvarez, analista de sistemas del Área de Tecnología y Comunicaciones de la UCLM (Universidad de Castilla-La Mancha). Requerimos voluntarios que deseen colaborar en este interesante proyecto.
| |
− | | |
− | Para más información, [http://www.owasp.org/index.php/Spain/Projects/Requerimientos_Legales consultar] la página del proyecto.
| |
− | | |
− | | |
− | '''01/05/2008 - Premio SIC 2008 al capítulo español'''
| |
− | | |
− | <table>
| |
− | <tr>
| |
− | <td valign="top">
| |
− | [http://www.owasp.org/index.php/Spain/News#Local_News_2008_SIC http://www.owasp.org/images/a/ae/OWASP_PremioSIC2008.jpg]
| |
− | </td>
| |
− | <td valign="top">
| |
− | <div align="justify">
| |
− | La prestigiosa revista [http://www.revistasic.com SIC] ha otorgado, en el marco de sus [http://www.revistasic.com/premios_sic/index2008.htm V Premios SIC], uno de los premios al capítulo español de la OWASP por su actividad y contribución a la mejora del nivel de seguridad en los desarrollos de aplicaciones en nuestro país.
| |
− | | |
− | A la ceremonia de entrega de premios, celebrada el 23 de abril en Madrid, asistió Vicente Aguilera como responsable del capítulo y recogió el premio agradeciendo la labor de todos aquellos miembros de la OWASP que, tanto de forma local como a nivel internacional, dedican gran parte de su escaso tiempo libre a la mejora del nivel de seguridad de las aplicaciones y servicios web.
| |
− | | |
− | Este premio servirá para motivarnos, aún más si cabe, en las nuevas iniciativas que deseamos impulsar en nuestro país.
| |
− | <br><br>
| |
− | [http://www.owasp.org/index.php/Spain/News#Local_News_2008_SIC Fotos] de la ceremonia de entrega de premios.
| |
− | </div>
| |
− | </td>
| |
− | <td valign="top">
| |
− | [http://www.owasp.org/index.php/Spain/News#Local_News_2008_SIC http://www.owasp.org/images/4/49/Sello2008_thumb.jpg]
| |
− | <br>
| |
− | [http://www.owasp.org/index.php/Spain/News#Local_News_2008_SIC http://www.owasp.org/images/6/63/Trofeo2008_thumb.jpg]
| |
− | </td>
| |
− | </tr>
| |
− | </table>
| |
− | | |
− | | |
− | '''01/05/2008 - Nueva sección en nuestra página'''
| |
− | | |
− | <div align="justify">
| |
− | Hemos creado una [http://www.owasp.org/index.php/Spain/Witnesses nueva sección] en nuestra web con la intención de recoger testimonios de distintas entidades a nivel español, que pongan de manifiesto como los distintos proyectos de la OWASP les han ayudado a resolver su problemática relacionada con las aplicaciones y servicios web.
| |
− |
| |
− | La idea es ayudar a la difusión de nuestros proyectos y su utilización en nuestro país. Además, puede servir como punto de encuentro de distintas entidades y una forma de compartir conocimientos.
| |
− |
| |
− | La sección se ha iniciado con la aportación de la UCLM (Universidad de Castilla-La Mancha), a través de Evangelino Valverde Álvarez, analista de sistemas del área de Tecnología y Comunicaciones de la UCLM. Desde aquí agradecemos su magnífica colaboración.
| |
− |
| |
− | Por otro lado, animamos a todas aquellas entidades que, de alguna u otra manera, utilizan la OWASP como repositorio de información a manifestarse en esta sección.
| |
− | </div>
| |
− | | |
− | | |
− | '''01/04/2008 - Conferencia en el VI Foro de Seguridad de RedIRIS'''
| |
− | | |
− | Presentación ofrecida por el capítulo español de la OWASP en el VI Foro de Seguridad de RedIRIS celebrado en Barcelona los días 27 y 28 de marzo, con el título "OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza".
| |
− | | |
− | La presentación se encuentra disponible para su descarga:<br>
| |
− | | |
− | [https://www.owasp.org/images/f/f1/Aportacion_de_la_OWASP_a_la_comunidad_internacional-Vicente_Aguilera.pdf https://www.owasp.org/images/4/44/Owasp_rediris_preview.gif]
| |
− | | |
− | | |
− | | |
− | '''21/03/2008 - VI Foro de Seguridad de RedIRIS'''
| |
− | | |
− | RedIRIS organiza su [http://www.rediris.es/cert/doc/reuniones/fs2008/ VI Foro de Seguridad] los próximos días 27 y 28 de marzo, en el que la temática se centra en la Seguridad Web.
| |
− | | |
− | El capítulo español de la OWASP estará presente con la presentación: [http://www.rediris.es/cert/doc/reuniones/fs2008/descripcion_modulos.es.html#owasp OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza].
| |
− | | |
− | La agenda del congreso se puede consultar en el siguiente [http://www.rediris.es/cert/doc/reuniones/fs2008/agenda.es.html enlace].<br>
| |
− | | |
− | | |
− | '''17/03/2008 - Éxito de asistencia en el III OWASP Spain Chapter Meeting'''
| |
− | | |
− | Nuestro III OWASP Spain Chapter Meeting celebrado el viernes 14 de marzo de 2008 en Barcelona ha sido un éxito. En esta ocasión, contamos con 140 asistentes que llenaron el aforo previsto.<br>
| |
− | | |
− | Desde aquí, agradecemos la colaboración de nuestros ponentes: Raúl Siles, Luís Calero, Daniel Cabezas, Iñaki López y Luís Rodríguez Berzosa, así como a todos los que quisieron compartir la jornada con nosotros asistiendo al evento.<br>
| |
− | | |
− | Las presentaciones se encuentran en nuestra sección [[Spain/Meetings]].
| |
− | | |
− | <br>
| |
− | <b>Noticias anteriores:</b> [http://www.owasp.org/index.php/Spain/News#Local_News_2007 2007]
| |
− | <br><br>
| |
− | | |
− | == Local Witnesses ==
| |
− | | |
− | '''OWASP en la Universidad de Castilla-La Mancha'''
| |
− | | |
− | <table>
| |
− | <tr>
| |
− | <td valign="top">
| |
− | [http://www.owasp.org/index.php/Spain/Witnesses https://www.owasp.org/images/c/c3/Evan_thumb.jpg]
| |
− | </td>
| |
− | <td>
| |
− | <p align="justify">
| |
− | Los entornos Web se han convertido en el principal foco de ataque a los sistemas informáticos de las organizaciones. Consciente de este hecho, el Área de Tecnología y Comunicaciones de la UCLM arrancó en enero de 2008 un plan de mejora de la seguridad, centrado específicamente en las aplicaciones Web. Durante el diseño de este plan, los proyectos de la OWASP han aportado respuestas a cada una de nuestras preguntas, hasta el punto de convertirse en nuestra principal fuente de documentación.</p>
| |
− | <i>Evangelino Valverde Álvarez</i><br>
| |
− | <i>Analista de Sistemas del Área de Tecnología y Comunicaciones de la UCLM</i>
| |
− | </td>
| |
− | <td valign="top">
| |
− | [http://www.owasp.org/index.php/Spain/Witnesses https://www.owasp.org/images/a/a5/Logouclm_thumb.jpg]
| |
− | </td>
| |
− | </tr>
| |
− | </table>
| |
− | <br>
| |
− | Leer [http://www.owasp.org/index.php/Spain/Witnesses texto completo]
| |
− | <br><br>
| |
− | | |
− | == Local Meetings ==
| |
− | <center><b>Los meetings son GRATUITOS y abiertos al público</b></center>
| |
− | '''III OWASP Spain Chapter Meeting: 14 de marzo de 2008'''
| |
− | | |
− | [http://www.owasp.org/index.php/Spain/Meetings#Local_Meetings Descarga] las presentaciones ofrecidas en nuestro III Congreso, así como algunas fotografías, desde la sección [[Spain/Meetings]].<br><br>
| |
− | [http://www.owasp.org/index.php/Spain/Meetings#Local_Meetings http://www.owasp.org/images/a/a3/IMG_0384_thumb.png]<br><br>
| |
− | | |
− | '''II OWASP Spain Chapter Meeting: 6 de julio de 2007'''
| |
− | | |
− | [http://www.owasp.org/index.php/Spain/Meetings#Local_Meetings Descarga] las presentaciones ofrecidas en nuestro II Congreso, así como algunas fotografías, desde la sección [[Spain/Meetings]].<br><br>
| |
− | [http://www.owasp.org/index.php/Spain/Meetings#Local_Meetings http://www.owasp.org/images/5/5d/IMG_0005-thumb.jpg]<br><br>
| |
− | | |
− | '''I OWASP Spain Chapter Meeting: 16 de junio de 2006'''
| |
− | | |
− | [http://www.owasp.org/index.php/Spain/Meetings#Local_Meetings Descarga] las presentaciones ofrecidas en nuestro I Congreso, así como algunas fotografías, desde la sección [[Spain/Meetings]].<br><br>
| |
− | [http://www.owasp.org/index.php/Spain/Meetings#Local_Meetings http://www.owasp.org/images/0/06/IMG_3154-thumb.jpg]<br><br>
| |
− | | |
− | == Local Projects ==
| |
− | '''Especificación de Requisitos Legales para Aplicaciones Web'''
| |
− | | |
− | La finalidad del proyecto es extraer aquellos aspectos de la legislación española que tienen repercusión sobre la especificación de requisitos de las aplicaciones Web, y construir una [http://www.owasp.org/index.php/Spain/Projects/Requerimientos_Legales "Especificación de Requisitos Legales para Aplicaciones Web"].<br>
| |
− | | |
− | Proyecto liderado por: Evangelino Valverde Álvarez<br>
| |
− | <br>
| |
− | Para más información, [http://www.owasp.org/index.php/Spain/Projects/Requerimientos_Legales consultar] la página del proyecto.<br>
| |
− | | |
− | | |
− | '''¿Ideas?'''
| |
− | | |
− | Si tienes iniciativas que consideras interesantes, te animamos a proponerlas en nuestra [http://lists.owasp.org/mailman/listinfo/owasp-spain lista de correo] o envíanos un [mailto:[email protected] e-mail] si quieres comentárnosla previamente.<br> | |
| | | |
− | ¡Ayúdanos a crear nuevos proyectos con iniciativas locales!.<br>
| + | Everyone is welcome to join us at our chapter meetings. |
− | <br>
| |
| | | |
− | == Agradecimientos ==
| + | [[Category:OWASP Chapter]] |
− | A aquellas entidades que han colaborado en la difusión de las actividades de nuestro capítulo:
| |
− | <br>
| |
− | <table width="50%">
| |
− | <tr>
| |
− | <td>[http://www.isecauditors.com https://www.owasp.org/images/7/7d/Isecauditors_logo_peq.png]</td>
| |
− | <td>[http://www.ati.es https://www.owasp.org/images/3/3f/Logo_ati_peq.png]</td>
| |
− | <td>[http://www.cesca.cat https://www.owasp.org/images/f/f3/Logo_cesca_peq.png]</td>
| |
− | <td>[http://www.rediris.es https://www.owasp.org/images/0/0e/Logo_rediris_peq.png]</td>
| |
− | </tr>
| |
− | </table>
| |
− | <br>
| |
− | A quienes han participado como ponentes en nuestros eventos:
| |
− | <br>
| |
− | <ul>
| |
− | <li>Raúl Siles, Consultor de Seguridad independiente. [http://raulsiles.com raulsiles.com]. Instructor de [http://www.sans.org SANS Institute]</li>
| |
− | <li>Iñaki López/Daniel Cabezas, Responsables del Laboratorio de Seguridad Avanzada. [http://www.ey.com/global/content.nsf/Spain/Home Ernst&Young]</li>
| |
− | <li>Luis Calero, Director Técnico. [http://www.pentest.es Pentest Consultores]</li>
| |
− | <li>Luís Rodriguez Berzosa, Responsable del laboratorio software. [http://www.als-es.com/ Application LifeCycle Solutions]</li>
| |
− | <li>Pedro Sánchez, Responsable de Seguridad. [http://www.atca.es ATCA]</li>
| |
− | <li>Jaime Blasco, Responsable de Seguridad. [http://www.eazel.es Eazel]</li>
| |
− | <li>Roger Carhuatocto, NeS & DTM Product Manager. [http://www.netfocus.es NetFocus]</li>
| |
− | <li>Albert Puigsech, Auditor Senior. [http://www.isecauditors.com Internet Security Auditors]</li>
| |
− | <li>Javier Fernández-Sanguino, Consultor. [http://www.germinus.com Germinus]</li>
| |
− | <li>Carles Fragoso i Mariscal, Técnico de Seguridad de [http://www.cesca.es CESCA]</li>
| |
− | <li>Jess Garcia, CEO de [http://www.jessland.net Jessland Security Services] e instructor de [http://www.sans.org SANS Institute]</li>
| |
− | </ul>
| |
− | <br>
| |
− | Y a todos nuestros miembros.
| |
− | <br>
| |
Welcome to the CHANGE ME chapter homepage. The chapter leader position is OPEN.
Everyone is welcome to join us at our chapter meetings.