Difference between revisions of "OWASP Testing Project"

Revision as of 22:27, 3 February 2011 (view source) Mmeucci (talk | contribs) ← Older edit		Revision as of 21:25, 7 February 2011 (view source) Frank Alexander (talk | contribs) Newer edit →
Line 1:		Line 1:
−	{{OWASP Book|5691953}}	+	== Modelo de Auditoría de sistemas:  ==
−	==== Main  ====	+	Éste es un modelo universal para securizar en un alto grado de seguridad al sistema operativo.
−	== Welcome to the new OWASP Testing Guide  ==	+	#Sistema de cifrado congelado: Mantiene en secreto la ubicación del archivo del sistema, previniendo ataques de tipo monitoreo de redes.
		+	#OpenVAS: Línea de comandos para cifrar- descifrar el protocolo TCP/Ip
		+	#Filtro Web: Previene intrusiones a través de puertos inseguros
		+	#Clam Antivirus: Previene, detecta y corrige virus informático
−	=== OWASP Testing Guide v4  ===	+	<br>
−	[[:Projects/OWASP Testing Project/Releases/Testing Guide V 4.0|Roadmap will be defined at the OWASP Summit 2011]].
−	=== OWASP Testing Guide v3  ===	+	{| border="1" cellspacing="1" cellpadding="1" width="200" align="center"
		+	|-
		+	| Clam Antivirus
		+	{| border="1" cellspacing="1" cellpadding="1" width="200" align="center"
		+	|-
		+	| Filtro Web
		+	{| border="1" cellspacing="1" cellpadding="1" width="200" align="center"
		+	|-
		+	| OpenVAS
		+	{| border="1" cellspacing="1" cellpadding="1" width="200" align="center"
		+	|-
		+	| Sistema de Cifrado Congelado
		+	|}
−	16th December 2008: OWASP Testing Guide v3 is finished!<br>	+	|}
−	*You can download the Guide in PDF [http://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf here]	+	|}
−	*Download the presentation [https://www.owasp.org/images/2/2c/OWASP_EU_Summit_2008_OWASP_Testing_Guide_v3.ppt here]
−	*Browse the Testing Guide v3 on the wiki [https://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents here]
−	''''NEW: OWASP projects and resources you can use TODAY''''<br>	+	|}
−	16th April 2010 in London, OWASP leaders deliver a course focused on the main OWASP Projects.<br>
−	Matteo Meucci will deliver a training course on the OWASP Testing Guide v3. <br>
−	More information [http://www.owasp.org/index.php/London/Training/OWASP_projects_and_resources_you_can_use_TODAY here]
−	Video @ FOSDEM 09: [http://fosdem.unixheads.org/2009/maintracks/owasp.ogv here]	+	== Descripción softwares de auditoría  ==
−	Citations:	+	*El sistema de cifrado http://truecrypt.org cifra el núcleo del sistema operativo y los discos lógicos impidiendo ataques espía.
−	http://www.owasp.org/index.php/Testing_Guide_Quotes	+	*Los comandos shell http://openvas.org sirven para analizar protocolos de red, detección de virus y cifrado del protocolo IpV4-6
−	=== Overview  ===	+	*El filtro web http://freenetproject.org es una técnica que reemplaza al Firewall, discriminando puertos inseguros, ahorrando tiempo de procesamiento en el núcleo del sistema.
−	This project's goal is to create a "best practices" web application penetration testing framework which users can implement in their own organizations and a "low level" web application penetration testing guide that describes how to find certain issues.	+	*Clamwin.com es un software de código abierto, no usa computación en la nube y tiene una GUI que detecta virus en línea http://sourceforge.net/projects/clamsentinel
−	Version 3 of the Testing Guide was released in December 2008 after going through a major upgrade through the [[OWASP Summer of Code 2008]].	+	== Macroinformática  ==
−	=== Background and Motivation  ===	+	La macroinformática comprende eficiencia, seguridad y naturaleza. La eficacia de un sistema operativo se mide por la interacción hombre-máquina, sintetizando aplicaciones minimalistas y ejecutándolas nuestro sistema operativo procesará los datos eficientemente, ejemplos:
−	'''History Behind Project''' The OWASP Testing guide originated in 2003 with Dan Cuthbert as one of the original editors. It was handed over to [[User:EoinKeary|Eoin Keary]] in 2005 and moved onto the new OWASP wiki when it came online. Being in a wiki is easier for people to contribute and has made updating much easier. [[User:Mmeucci|Matteo Meucci]] took on the Testing guide after Eoin and shepherded it through the version 2 and version 3 updates, which have been significant improvements.	+	*Transmisión cifrada: Cliente e-mail con GnuPG
−	== Project History  ==	+	http://fellowship.fsfe.org
−	=== OWASP Testing Guide v3  ===	+	*Sistema de cifrado: Cifra y descifra texto plano, imágenes, etc..
−	Testing Guide v3: plan (archive)	+	#ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.11.exe
		+	#http://cryptophane.googlecode.com/files/cryptophane-0.7.0.exe
−	26th April 2008: Version 3 of the Testing Guide started under [[OWASP Summer of Code 2008]].	+	*Ruby: Lenguaje de programación experimental
−	6th November 2008: Completed draft created and previewed at [[OWASP EU Summit 2008|OWASP EU Summit 2008 in Portugal]].	+	http://ruby-lang.org
−	Final stable release in December 2008	+	*J2re1.3.1_20: Ejecutable de objetos interactivos o applets
−	=== OWASP Testing Guide v2  ===	+	http://java.sun.com/products/archive/j2se/1.3.1_20/index.html
−	'''10th February 2007: The OWASP Testing Guide v2 is now published''' [[User:Mmeucci|Matteo Meucci]] (as part of his [[OWASP Autumn of Code 2006 - Projects: Testing Guide|AoC project]]) has just published the latest version of Testing guide which:	+	*Escritorio: Gestor de ventanas X11
−	*you can read it on line on the [http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents Testing Guide v2 wiki]	+	http://windowmaker.info
−	*or download the Guide in [http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_pdf.zip Adobe PDF format] or in [http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_doc.zip Ms Doc format]
−	'''OWASP Testing Guide v2 in Spanish:''' Now you can get a complete translation in [http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_spanish_doc.zip Ms Doc format]	+	*Gnuzilla: Navegador seguro y de uso libre
−	For comments or questions, please join the [http://lists.owasp.org/mailman/listinfo/owasp-testing OWASP Testing mailing list], read our archive and share your ideas. Alternatively you can contact [[User:EoinKeary|Eoin Keary]] or [[User:Mmeucci|Matteo Meucci]] directly.	+	http://code.google.com/p/iceweaselwindows/downloads/list
−	Here you can find:	+	*Gnupdf: Visor de formato de texto universal pdf
−	*[http://www.owasp.org/index.php/Testing_Guide_Quotes The OWASP Testing Guide 'Quotes']	+	http://blog.kowalczyk.info/software/sumatrapdf
−	*[http://www.owasp.org/index.php/OWASP_Testing_Guide_Presentations Testing Guide presentations]
−	<br>	+	*Gnuflash: Jugador alternativo a flash player
−	=== The OWASP Testing Guide v2 - Request for Review  ===	+	http://gnu.org/software/gnash
−	'''10th January 2007: The OWASP Testing Guide v2 is now in its final stages''' [[User:Mmeucci|Matteo Meucci]] (as part of his [[OWASP Autumn of Code 2006 - Projects: Testing Guide|AoC project]]) has just published the latest version of Testing guide which:	+	*Zinf: Reproductor de audio
−	*you can read it on line on the [http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents Testing Guide v2 wiki - 'Release Candidate 1']	+	http://zinf.org
−	*or download the Guide in [http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_RC1_pdf.zip Adobe PDF format] or [http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_RC1_doc.zip Ms Doc format]
−	'''So what we need now (until 10th of February) is for you to review it.''' Please let us know any mistakes made, and if you feel that there is something missing, please help yourself and edit the relevant WIKI page.	+	*Informática forense: Análisis de datos ocultos en el disco duro
−	For comments or questions, please use the 'Discussion' pages or email [[User:EoinKeary|Eoin Keary]] or [[User:Mmeucci|Matteo Meucci]] directly.	+	http://sleuthkit.org
−	The current plan is to create a 'published' version of this guide on the 10th of February which will be sent to all OWASP members in book format.	+	*Compresor: Comprime datos sobreescribiendo bytes repetidos
−	If you want to participate see the [[OWASP Testing Project v2.0 - Review Guidelines]] page for the lastest updates	+	http://peazip.sourceforge.net
−	<br>	+	*Ftp: Gestor de descarga de archivos
−	=== Old Testing Guide Download  ===	+	http://dfast.sourceforge.net
−	A copy of the old guide (The OWASP Testing Guide v1.1) is available [[http://prdownloads.sourceforge.net/owasp/OWASPWebAppPenTestList1.1.pdf?download here]], it shall also be available in HTML format on the forthcoming OWASP Live CD. A PDF copy shall also be available to download.	+	*AntiKeylogger: Neutraliza el seguimiento de escritorios remotos (Monitoring)
−	'''OWASP Pen Test Checklist in Italian''' Sun May 22 10:56:39 EDT 2005 I'm glad to announce we have released OWASP Pen Test Checklist in Italian. Thanks to the Italian Chapter, Massimiliano and Matteo for it's great effort to have this document translated. You can download this version in [http://www.owasp.org/docroot/owasp/misc/OWASPWebAppPenTestList1.1_ITA.pdf PDF] or [http://www.owasp.org/docroot/owasp/misc/OWASPWebAppPenTestList1.1_ITA.doc Word]	+	http://psmantikeyloger.sourceforge.net
−	'''Checklist ver 1.17 in Spanish''' Mon Apr 04 15:37:24 EDT 2005 I'm glad to announce we have released OWASP Pen Test Checklist ver 1.17 in Spanish.Thanks to Pedro, Raul and Rogelio for it's great effort to have this document translated and to Christian by helping out with technical edition. You can download this version [http://www.owasp.org/docroot/owasp/misc/testing_spanish.pdf PDF] or [http://www.owasp.org/docroot/owasp/misc/testing_spanish.doc Word]	+	*Password manager: Gestión de contraseñas
−	<br>	+	http://passwordsafe.sourceforge.net
−	=== Related  ===	+	*Limpiador de disco: Borra archivos innecesrios del sistema
−	'''OWASP Testing Guide (v2+v3) Report Generator''' is found at [http://yehg.net/lab/#wasarg http://yehg.net/lab/#wasarg].	+	http://bleachbit.sourceforge.net
−	'''THE OWASP Testing Project Live CD''' The OWASP testing project is currently implementing an Application security Live CD. <br> LabRat Version 0.8 Alpha is just weeks away from Beta testing*.	+	*Desfragmentador: Reordena los archivos del disco duro, generando espacio virtual
−	The aim of this CD is to have a complete testing suite on one Disk. The CD shall also contain the forthcoming OWASP Testing guide.	+	http://kessels.com/jkdefrag
−	The Live CD now has its own section you can find it here: [http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project]	+	*X11: Gestor de ventanas, reemplazo de escritorio Xwindow's
−	== Feedback and Participation  ==	+	http://bb4win.org
−	We hope you find the information in the OWASP Testing project useful. Please contribute back to the project by sending your comments, questions, and suggestions to the OWASP Testing mailing list. Thanks!	+	*Open Hardware: Hardware construído por la comunidad Linux
−	To join the OWASP Testing mailing list or view the archives, please visit the [http://lists.owasp.org/mailman/listinfo/owasp-testing subscription page].	+	http://open-pc.com
−	==== Translations ====	+	*Open WRT: Firmware libre para configurar transmisión de Internet
−	Thanks to the translators all around the world you can dowload the guide in the following languages:	+	http://openwrt.org
−	* Spanish in [http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf PDF] or [http://www.owasp.org/images/d/d7/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.zip MS Word] formats.	+	*Gnu- Linux: Sistema operativo universal
−	* Chinese in [http://www.owasp.org/images/0/06/OWASP%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97%28%E4%B8%AD%E6%96%87%EF%BC%89.pdf PDF] format. (Thanks to the [http://www.owasp.org/index.php/China-Mainland China-mainland chapter].)	+	http://gnewsense.org
−	* Japanese in [http://www.owasp.org/images/1/1e/OTGv3Japanese.pdf PDF] format here (this is a 1st draft, final release coming soon).	+	== Biocriptoseguridad ==: Es la unión de la biología, criptografía y hacking ético para formar una defensa stándar contra virus complejos.
		+	Implementación de la biocriptoseguridad informática:
−	==== Project About ====	+	#Amplificar la banda ancha
−	{{:Projects/OWASP Testing Project | Project About}}	+	#Optimizar (limpiar- modificar) el sistema operativo
		+	#Desfragmentar los discos lógicos
		+	#Ocultar el sistema operativo
		+	#Configurar antivirus
		+	#Limpiar y desfragmentar
		+	#Congelar
−	__NOTOC__ <headertabs />	+	*Sistema inmune._ Defensa biológica natural contra infecciones como virus http://immunet.com
		+	*Criptografía._ Método de escritura oculta por caractes, números y letras:—{H}/gJa¢K¡Ng÷752%\*)A>¡#(W|a— http://diskcryptor.net
−	[[Category:OWASP_Project|Testing Guide]] [[Category:OWASP_Document]] [[Category:OWASP_Download]] [[Category:OWASP_Release_Quality_Document|OWASP Stable Quality Document]]	+	*Hacking ético._ Auditoría de sistemas informáticos que preserva la integridad de los datos.
		+
		+	Congelador: Mantiene el equilibrio en la integridad de los datos, el sistema operativo, red , memoria ram, ciclos de CPU, espacio en disco duro e incidencias de malware
		+
		+	*http://code.google.com/p/hzr312001/downloads/detail?name=Deep%20systemze%20Standard%20Version%206.51.020.2725.rar&amp;can=2&amp;q= (para Window's)
		+	*http://sourceforge.net/projects/lethe (para GNU/Linux)
		+
		+	<br>Auditoría de virus cifrado._ Un criptovirus se oculta tras un algoritmo de criptografía, generalmente es híbrido simétrico-asimétrico con una extensión de 1700bit's, burla los escáneres antivirus con la aleatoriedad de cifrado, facilitando la expansión de las botnet's. La solución es crear un sistema operativo transparente, anonimizarlo y usar herramientas de cifrado stándar de uso libre:
		+
		+	*Gnupg: Sirve para cifrar mensajes de correo electrónico http://gpg4win.org/download.html
		+
		+	*Open Secure Shell: Ofuscador TcpIp, protege el túnel de comunicación digital cifrando la Ip. http://openvas.org
		+
		+	*Red protegida: DNS libre http://namespace.org/switch
		+
		+	*Criptosistema simétrico: Encapsula el disco duro, incluyendo el sistema operativo,usando algoritmo Twofish http://truecrypt.org/downloads.php
		+
		+	*Proxy cifrado: Autenticación de usuario anónimo http://torproject.org
		+
		+	Energías renovables._ Son energías adquiridas por medios naturales: hidrógeno, aire, sol que disminuyen la toxicidad de las emisiones de Co2 en el medio ambiente, impulsando políticas ecologistas contribuímos a preservar el ecosistema. Ejm: Usando paneles solares fotovoltaicos.

---

Revision as of 21:25, 7 February 2011

Modelo de Auditoría de sistemas:

Éste es un modelo universal para securizar en un alto grado de seguridad al sistema operativo.

1. Sistema de cifrado congelado: Mantiene en secreto la ubicación del archivo del sistema, previniendo ataques de tipo monitoreo de redes.
2. OpenVAS: Línea de comandos para cifrar- descifrar el protocolo TCP/Ip
3. Filtro Web: Previene intrusiones a través de puertos inseguros
4. Clam Antivirus: Previene, detecta y corrige virus informático

Clam Antivirus Filtro Web OpenVAS Sistema de Cifrado Congelado

Descripción softwares de auditoría

• El sistema de cifrado http://truecrypt.org cifra el núcleo del sistema operativo y los discos lógicos impidiendo ataques espía.

• Los comandos shell http://openvas.org sirven para analizar protocolos de red, detección de virus y cifrado del protocolo IpV4-6

• El filtro web http://freenetproject.org es una técnica que reemplaza al Firewall, discriminando puertos inseguros, ahorrando tiempo de procesamiento en el núcleo del sistema.

• Clamwin.com es un software de código abierto, no usa computación en la nube y tiene una GUI que detecta virus en línea http://sourceforge.net/projects/clamsentinel

Macroinformática

La macroinformática comprende eficiencia, seguridad y naturaleza. La eficacia de un sistema operativo se mide por la interacción hombre-máquina, sintetizando aplicaciones minimalistas y ejecutándolas nuestro sistema operativo procesará los datos eficientemente, ejemplos:

• Transmisión cifrada: Cliente e-mail con GnuPG

http://fellowship.fsfe.org

• Sistema de cifrado: Cifra y descifra texto plano, imágenes, etc..

1. ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.11.exe
2. http://cryptophane.googlecode.com/files/cryptophane-0.7.0.exe

• Ruby: Lenguaje de programación experimental

http://ruby-lang.org

• J2re1.3.1_20: Ejecutable de objetos interactivos o applets

http://java.sun.com/products/archive/j2se/1.3.1_20/index.html

• Escritorio: Gestor de ventanas X11

http://windowmaker.info

• Gnuzilla: Navegador seguro y de uso libre

http://code.google.com/p/iceweaselwindows/downloads/list

• Gnupdf: Visor de formato de texto universal pdf

http://blog.kowalczyk.info/software/sumatrapdf

• Gnuflash: Jugador alternativo a flash player

http://gnu.org/software/gnash

• Zinf: Reproductor de audio

http://zinf.org

• Informática forense: Análisis de datos ocultos en el disco duro

http://sleuthkit.org

• Compresor: Comprime datos sobreescribiendo bytes repetidos

http://peazip.sourceforge.net

• Ftp: Gestor de descarga de archivos

http://dfast.sourceforge.net

• AntiKeylogger: Neutraliza el seguimiento de escritorios remotos (Monitoring)

http://psmantikeyloger.sourceforge.net

• Password manager: Gestión de contraseñas

http://passwordsafe.sourceforge.net

• Limpiador de disco: Borra archivos innecesrios del sistema

http://bleachbit.sourceforge.net

• Desfragmentador: Reordena los archivos del disco duro, generando espacio virtual

http://kessels.com/jkdefrag

• X11: Gestor de ventanas, reemplazo de escritorio Xwindow's

http://bb4win.org

• Open Hardware: Hardware construído por la comunidad Linux

http://open-pc.com

• Open WRT: Firmware libre para configurar transmisión de Internet

http://openwrt.org

• Gnu- Linux: Sistema operativo universal

http://gnewsense.org

== Biocriptoseguridad ==: Es la unión de la biología, criptografía y hacking ético para formar una defensa stándar contra virus complejos.

Implementación de la biocriptoseguridad informática:

1. Amplificar la banda ancha
2. Optimizar (limpiar- modificar) el sistema operativo
3. Desfragmentar los discos lógicos
4. Ocultar el sistema operativo
5. Configurar antivirus
6. Limpiar y desfragmentar
7. Congelar

• Sistema inmune._ Defensa biológica natural contra infecciones como virus http://immunet.com

• Criptografía._ Método de escritura oculta por caractes, números y letras:—{H}/gJa¢K¡Ng÷752%\*)A>¡#(W|a— http://diskcryptor.net

• Hacking ético._ Auditoría de sistemas informáticos que preserva la integridad de los datos.

Congelador: Mantiene el equilibrio en la integridad de los datos, el sistema operativo, red , memoria ram, ciclos de CPU, espacio en disco duro e incidencias de malware

• http://code.google.com/p/hzr312001/downloads/detail?name=Deep%20systemze%20Standard%20Version%206.51.020.2725.rar&can=2&q= (para Window's)
• http://sourceforge.net/projects/lethe (para GNU/Linux)

Auditoría de virus cifrado._ Un criptovirus se oculta tras un algoritmo de criptografía, generalmente es híbrido simétrico-asimétrico con una extensión de 1700bit's, burla los escáneres antivirus con la aleatoriedad de cifrado, facilitando la expansión de las botnet's. La solución es crear un sistema operativo transparente, anonimizarlo y usar herramientas de cifrado stándar de uso libre:

• Gnupg: Sirve para cifrar mensajes de correo electrónico http://gpg4win.org/download.html

• Open Secure Shell: Ofuscador TcpIp, protege el túnel de comunicación digital cifrando la Ip. http://openvas.org

• Red protegida: DNS libre http://namespace.org/switch

• Criptosistema simétrico: Encapsula el disco duro, incluyendo el sistema operativo,usando algoritmo Twofish http://truecrypt.org/downloads.php

• Proxy cifrado: Autenticación de usuario anónimo http://torproject.org

Energías renovables._ Son energías adquiridas por medios naturales: hidrógeno, aire, sol que disminuyen la toxicidad de las emisiones de Co2 en el medio ambiente, impulsando políticas ecologistas contribuímos a preservar el ecosistema. Ejm: Usando paneles solares fotovoltaicos.