Aplicación vulnerable iOS del proyecto OWASP

iGoat iGoat es un proyecto perteneciente a la fundación OWASP inspirado en WebGoat. Dicho proyecto contiene vulnerabilidades de forma intencionada y no es sólo para el investigador de seguridad, sino también para desarrolladores. Esto es, porque parte del ejercicio no sólo consta de atacar y comprometer la aplicación, sino que también está diseñado para (con comentarios en el código) arreglar las vulnarabilidades, así que puedes atacar, arreglar o ambos. Este proyecto está diseñado en modo cliente/servidor.
Leer más

Vídeos de OWASP AppSec Europe 2016

Se han publicado los vídeos de las charlas de OWASP Europe 2016 celebrada en Roma. La lista de las charlas publicadas es la siguiente: Abhay Bhargav - SecDevOps: A View from the Trenches A. Brucker, S. Dashevskyi, F. Massacci - Using Third Party Components for building a Adam Muntner - Open Source Approaches to Security for Applications and Services at Mo Ajin Abraham - Automated Mobile Application Security Assessment with MobSF Amol Sarwate - 2016 State of Vulnerability Exploits Andreas Falk - Building secure cloud - native applications with spring boot and spring Arne Swinnen - The Tales of a Bug Bounty Hunter - 10 Interesting Vulnerabilities B.
Leer más

Vídeos de la OWASP AppSec Europa 2015

Ya están disponibles los vídeos de la OWASP AppSec Europa 2015 celebrada en Amsterdam del 19 al 22 de mayo. Martin Knobloch - Opening ceremony Joshua Corman - Continuous Acceleration: Why Continuous Everything Requires A Suppl… Nicolas Gregoire - Server-Side Browsing Considered Harmful Yossi Daya - Rise Of The Machines - How Automated Processes Overtook the Web Aaron Weaver - Building An AppSec Pipeline: Keeping Your Program, And Your Life, Sane Andrew Lee-Thorp - So, You Want To Use A WebView?
Leer más

Vídeos de la OWASP AppSecEu 2014

Ya están disponibles los vídeos (aunque no todos) de la conferencia OWASP AppSecEU 2014, celebrada en Cambridge entre el 23 y 26 de junio. Hemil Shah - Smart Storage Scanning for Mobile Apps - Attacks and Exploit OrKatz - Getting New Actionable Insights by Analyzing Web Application Firewall Triggers Jacob West - Keynote - Fighting Next-Generation Adversaries with Shared Threat Intelligence Lorenzo Cavallaro - Keynote - Copper Droid On the Reconstruction of Android Malware Behaviors Matt Tesauro - Barbican Protect your Secrets at Scale Gergely Revay - Security Implications of Cross-Origin Resource Sharing Simon Bennetts - OWASP ZAP Advanced Features Maty Siman - Warning Ahead Security Stormsare Brewing in Your JavaScript Dan Cornell - Hybrid Analysis Mapping Making Security and Development Tools Play Nice Together StevenMurdoch - Keynote-Anonymous Communications and Tor History and Future Challenges Winston Bond - OWASP Mobile Top Ten 2014 - The New Lack of Binary Protection Category Jerry Hoff - Getting a Handle on Mobile Security AppSec EU 2014 Chapter Leaders Workshop OWASP AppSec Europe 2014 - Frameworks and Theories Track OWASP AppSec Europe 2014 - Builder and Breaker Track OWASP AppSec Europe 2014 - DevOps Track OWASP AppSec Europe 2014 - Security Management & Training Track OWASP AppSec Europe 2014 - Malware & Defence Track OWASP AppSec Europe 2014 - Mobile Track
Leer más

OWASP 2014 - Top 10 del Internet of Things

OWASP (Open Web Application Security Project), es bien conocido no sólo por toda la documentación que ofrecen en relación a la seguridad de aplicaciones web, sino también por su famosas listas de Top 10: OWASP Top 10 OWASP Mobile Security Project OWASP Top Ten Cheat Sheet OWASP Proactive Controls OWASP Top 10/Mapping to WHID OWASP está elaborando una lista nueva llamada: OWASP Internet of Things Top Ten Project.
Leer más

Presentaciones de OWASP AppSecUSA 2013

Otra de las remarcadas conferencias sobre seguridad informática, OWASP AppSecUSA 2013, fue celebrada en Nueva York del 18 al 21 de noviembre. Para los no privilegiados, aquí tenéis la lista de los vídeos (diapositivas con audio): OWASP Zed Attack Proxy - Simon Bennetts The Cavalry Is US: Protecting the public good - Josh Corman, Nicholas Percoco 2013 AppSec Guide and CISO Survey - Marco Morana, Tobias Gondrom Top Ten Proactive Controls - Jim Manico Forensic Investigations of Web Exploitations - Ondrej Krehel Big Data Intelligence - Ory Segal, Tsvika Klein All the network is a stage, and the APKs merely players - Daniel Peck BASHing iOS Applications - Jason Haddix, Dawn Isabel What You Didn’t Know About XML External Entities Attacks - Timothy Morgan OWASP Hackademic - Konstantinos Papapanagiotou OWASP Periodic Table of Elements - James Landis Why is SCADA Security an Uphill Battle?
Leer más

Mejora tus habilidades de penetración... ¡web!

Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc. Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.
Leer más

Librería OWASP

El proyecto abierto sobre seguridad en aplicaciones web (OWASP), además de toda la magnífica información que podemos encontrar en su web, también tienen una tienda virtual en Lulu donde ofrecen libros sobre varios de sus proyectos. Dichos libros, tienes la opción de bajártelo de forma totalmente gratuita o también puedes comprarlos de impresos a un precio bastante económico, una magnífica idea para apoyar a este proyecto. Entre los libros que podemos adquirir están: OWASP TOP 10 2013 OWASP CLASP v1.
Leer más

Afina tus habilidades de penetración web con Mutillidae

Multillidae es otro de los proyectos con los que podemos jugar y afinar nuestras técnicas de penetración web. Es un proyecto multiplataforma escrito en PHP y que se puede instalar usando XAMPP. También está disponible en la distribución Samurai WTF Este proyecto cubre todas las vulnerabilidades recogidas en el OWASP Top 10. Puedes descargar el proyecto desde aquí. Como extra, en youtube puedes encontrar un canal (@webpwnized) (desarrollador actual del proyecto) con gran cantidad de vídeo tutoriales sobre esta plataforma.
Leer más

Entorno vulnerable Android

Todos o casi todos conocéis OWASP (Open Web Appication Security Project) y además muchos también conocéis WebGoat, una aplicación web escrita en J2EE con errores de seguridad específicos con la cual podemos afinar nuestras habilidades y/o herramientas. Pues bien, ahora también tenemos owasp-goatdroid. Un entorno vulnerable escrito totalmente en Java. Actualmente se encuentra en versión beta y sólo disponemos de un servicio web RESTful totalmente funcional, así como una aplicación para probarlo.
Leer más