Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Aplicación de Metodología de Pruebas OWASP para Sitios Web

No description
by

Linda Rosmery

on 7 January 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Aplicación de Metodología de Pruebas OWASP para Sitios Web

Pruebas y Manejo de Riesgos Metodología OWASP Agenda Aplicación de la Metodología
para la Valoración de Riesgos Conceptos Importantes
Aplicación de la Metodología de pruebas
Aplicación de Metodología de Valoración de riesgos
Cuadro Comparativo Herramientas de Comprobación Metasploit: Provee información sobre vulnerabilidades de seguridad
Burpsuite: Aplicación utilizada para crackear aplicaciones web.
SQLMap: Herramienta de inyección de sql automática. Aplicación de la Metodología de Pruebas Conceptos Importantes RIESGOS * Fiabilidad
* Seguridad
* Desempeño OWASP ::Modelo Estándar de Valoración de Riesgos::

Riesgo = Probabilidad de ocurrencia * Impacto :::Pasos:::
•Paso 1: Identificando un Riesgo
•Paso 2: Factores para estimar la probabilidad de ocurrencia
•Paso 3: Factores para estimar el Impacto en el Negocio
•Paso 4: Determinación de la Severidad del Riesgo
•Paso 5: Decidiendo que arreglar
•Paso 6: Ajustando tu Modelo de Valoración del Riesgo :::Pasos::: OWASP • Paso 1 Identificando el Riesgo

Se identifican algunos riesgos o vulnerabilidades que se presentan en la aplicación. OWASP • Paso 2 Se identifican los factores para estimar la probabilidad de ocurrencia. Factores relacionados con el agente causante de la amenaza Factores que afectan la vulnerabilidad OWASP • Paso 3: Se identifican los factores para estimar el impacto. Factores de impacto técnico Factores de impacto sobre el negocio OWASP OWASP • Paso 5: Decidiendo que arreglar Probabilidad de ocurrencia y niveles de impacto
0 a <3 Bajo
3 a <6 Medio
6 a <9 Alto Determinación de la severidad • Paso 4: Determinación de la severidad del Riesgo. • Paso 6: Ajustando tu Modelo de Valoración del Riesgo Más Severos

Más Fáciles / Más Baratos Factores

Tiempo Principio de Seguridad de Aplicaciones: Prácticas de implementación que buscan reducir la posibilidad de amenazas y ataques OWASP: Proyecto Abierto de Seguridad de Aplicaciones. Comunidad dedicada al desarrollo, adquisición y mantenimiento de aplicaciones fiables. Autenticación: Proceso de verificación de identidad y/o autorización sobre datos de un sistema Ataque de Fuerza Bruta: Ataque para descifrar por ensayo y error una contraseña. Ataque de Denegación de Servicio: Ataques que afectan la disponibilidad del sistema Criptografía: Ciencia que estudia cómo proporcionar confidencialidad e integridad a los datos. Comprobación de Integridad: Comprobar si un mensaje ha sido modificado. ISO/IEC 17799: Estándar de seguridad de información. Ofrece recomendaciones y mejores prácticas para la gestión de la seguridad
Medio * Alto = Alto
Alto * Alto =Crítico Elementos del Modelo de Pruebas Auditor: La persona que realiza las actividades de comprobación
Herramientas de metodología: El núcleo de este proyecto de guía de pruebas.
Aplicación: La caja negra sobre la que realizar las pruebas Modos Pasivo: Observación de la información y determinación de puntos de acceso
Activo: Se realizan pruebas en base a las 9 subcategorías Categorías Pruebas de gestión de configuración
Pruebas de la lógica de negocio
Pruebas de Autenticación
Pruebas de Autorización
Pruebas de gestión de sesiones
Pruebas de validación de datos
Pruebas de denegación de servicios
Pruebas de Servicios web
Pruebas de Ajax Pruebas Aplicadas Pruebas de Servicios Web: Recopilación de información.
Lógica del Negocio: Inyección de SQL
Full transcript