Proyectos OWASP en español
Hace algunos días estaba realizando una instalación del sistema Linux Mint en mi Laptop, como de costumbre en cada reinstalación, incluyo las herramientas del proyectos OWASP (WebGoat, Pantera, WebScarab, etc.). Esta vez he sabido encontrarme con una agradable noticia, pues la mayoría de los proyetos OWASP contaba con su enlace correspondiente a la definición del mismo en idioma español.
Antes de continuar debo aclarar el concepto de OWASP para las personas que no estén familiarizadas con este espectacular proyecto (aunque ya he publicado varios recursos en la Web y el foro, ej. Guía de pruebas OWASP y F.A.Q de seguridad en aplicaciones Web -OWASP-), veamos entonces la descripción del proyecto desde la Wikipedia:
OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto de seguridad de aplicaciones web abiertas’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.
Los siguientes son algunos de los proyectos que se encuentran traducidos al español:
OWASP AntiSamy
El proyecto OWASP AntiSamy es unas cuantas cosas. Técnicamente, es una API para asegurarse que las entradas HTML/CSS del usuario estén en cumplimiento con las reglas de la aplicación. Otra forma de decirlo podría ser: es una API que le ayuda a asegurarse que los clientes no provean código malicioso en el HTML que proveen para su perfil, comentarios, etc. Que se quedan almacenados en el servidor. El termino código malicioso en términos de aplicaciones Web es generalmente relacionado solo con JavaScript. Hojas de estilo en cascada (CSS) son solo consideradas maliciosas cuando invocan a JavaScript. Sin embargo, hay muchas situaciones donde HTML y CSS “normales” pueden ser usados de una forma maliciosa.
Filosóficamente, AntiSamy es una desviación de todos los mecanismos contemporáneos de seguridad. Generalmente, los mecanismos de seguridad y los usuarios tienen una comunicación que es virtualmente de una vía, por una buena razón. Dejar al atacante potencial saber detalles acerca de la validación no se considera prudente, ya que permite que al atacante “aprenda” y “reconstruya” el mecanismo para debilidad. Estos tipos de fuga de información pueden también dañar en formas que usted no espera. Un mecanismo de ingreso que le dice al usuario, “Usuario invalido” revela el hecho de que un usuario con ese nombre no existe. Un usuario podría usar un diccionario o directorio telefónico o ambos para obtener remotamente una lista de usuarios validos. Usando esta información, un atacante podría lanzar un ataque de fuerza bruta o negación de servicio masivo de bloqueo de cuentas.
Más información sobre OWASP AntiSamy
------------------------------------------------------------------------------------
OWASP CAL9000
CAL9000 es una colección de herramientas de prueba de seguridad de aplicaciones web que complementan el conjunto de web proxies y escáners automáticos actuales. CAL9000 le da la flexibilidad y funcionalidad que necesita para aumentar la eficacia de las pruebas manuales. Funciona mejor cuando se usa con Firefox o Internet Explorer.
CAL9000 esta escrito en JavaScript, así que usted tiene completo acceso al código fuente. Siéntase libre de modificarlo para que se adapte mejor a sus necesidades particulares. CAL9000 tiene algunas características poderosas (como ejecutar cross-domain xmlHttpRequests y escribir a disco). Esta diseñado a propósito para hacer algunas cosas horriblemente inseguras. Por lo tanto, quisiera alentar firmemente que únicamente lo corra localmente y NO fuera de un servidor.
Más información sobre OWASP CAL9000
------------------------------------------------------------------------------------
OWASP CLASP
CLASP (Proceso de seguridad en aplicación completo y ligero) proporciona un enfoque bien organizado y estructurado para mover las inquietudes de seguridad a las fases iniciales del ciclo de vida de desarrollo de software, cuando esto sea posible.
CLASP es en realidad un conjunto de piezas de proceso que puede ser integrado en cualquier proceso de desarrollo de software. Esta diseñado para ser fácil de adoptar y efectivo a la vez. Toma un enfoque prescriptivo, documentando las actividades que las organizaciones debería estar haciendo. Y proporciona una amplia riqueza de recursos de seguridad que hacen razonable implementar esas actividades.
Más información sobre OWASP CLASP
------------------------------------------------------------------------------------
OWASP DirBuster
DirBuster es una aplicación Java multi hilo diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web/de aplicación. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalación por omisión no lo es, y tiene paginas y aplicaciones ocultas. DirBuster trata de encontrar estos.
Sin embargo, las herramientas de esta naturaleza a menudo son solo tan buenas como la lista de archivos y directorios con los que vienen. Un enfoque diferente fue usado para generar esto. La lista fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores! DirBuster viene con un total de 0 listas diferentes (Mas información puede ser encontrada mas adelante), esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y si eso no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta pura, lo que no les deja lugar para esconderse a los archivos y directorios ocultos! Si tiene el tiempo 😉
Más información sobre OWASP DirBuster
------------------------------------------------------------------------------------
OWASP Encoding
Las aplicaciones web enfrentan un gran numero de amenazas; una de ellas es cross-site scripting y ataques de inyección relacionados. El 90% de todas las aplicaciones web contiene ataques de cross-site scripting porque son fáciles de introducir, y las herramientas adecuadas no están siempre disponibles para prevenirlos. La biblioteca Reform proporciona un conjunto sólido de funciones para codificar la salida para los objetivos de contexto mas comunes en aplicaciones web (por ejemplo: HTML, XML, JavaScript, etc.). La biblioteca también tiene una opinión conservadora de cuales son los caracteres permitidos basado en vulnerabilidades históricas y técnicas actuales de inyección.
Más información sobre OWASP Encoding
------------------------------------------------------------------------------------
OWASP Enterprise Security API
La ESAPI es una colección gratis y abierta de todos los métodos de seguridad que un desarrollador necesita para construir una aplicación Web segura. Usted puede user solo las interfases y construir su propia implementación usando la infraestructura de su compañía. O, puede user la implementación de referencia como un punto de inicio. En concepto, la API es independiente del lenguaje. Sin embargo, los primeros entregables del proyecto son una API Java y una referencia de implementación Java. Esfuerzos para construir ESAPI en .NET y PHP están en marcha.
Desafortunadamente, las plataformas disponibles, y herramientas (Java EE, Struts, Spring, etc...) simplemente no proporcionan protección suficiente. Esto deja a los desarrolladores con la responsabilidad de diseñar y construir mecanismos de seguridad. Este reinventado de la rueda para cada aplicación lleva a una perdida de tiempo y agujeros de seguridad masivos.
Más información sobre OWASP Enterprise Security API
------------------------------------------------------------------------------------
OWASP Insecure Web App
InsecureWebApp es una aplicación que incluye vulnerabilidades comunes en aplicaciones Web. Es un objetivo de pruebas de penetración automatizadas y manuales, análisis de código fuente, evaluaciones de vulnerabilidades y modelado de amenazas.
InsecureWebApp es ante todo una ayuda para desafiar y mejorar las habilidades de diseño y codificación segura. Arquitectos y desarrolladores necesitan aprender a identificar las vulnerabilidades en una aplicación Web real. Los objetivos de esta herramienta son de tres tipos: 1) demostrar lo peligrosas que pueden ser la vulnerabilidades de las aplicaciones, 2) cerrar la brecha que existe entre la teoría de seguridad en aplicaciones y la código que realmente se esta diseñando y escribiendo, 3) aprender como estas vulnerabilidades pueden ser arregladas.
Más información sobre OWASP Insecure Web App
------------------------------------------------------------------------------------
OWASP LAPSE
LAPSE significa Análisis Ligero para Seguridad en Programas en Eclipse (Lightweight Analysis for Program Security in Eclipse). LAPSE esta diseñado para ayudar con la tarea de auditar aplicaciones Java J2EE para tipos comunes de vulnerabilidades encontradas en aplicaciones web. LAPSE fue desarrollado por Benjamin Livshits como parte del Griffin Software Security Project.
Más información sobre OWASP LAPSE
------------------------------------------------------------------------------------
OWASP Live CD
El LiveCD de OWASP (LabRat) es un CD de arranque (bootable) similar a knoppix pero dedicado a seguridad de aplicaciones. Servirá como un vehiculo y medio de distribución para las herramientas y guías de OWASP.
La versión 2 del LiveCD de OWASP esta enfocada en las herramientas y documentación de OWASP. La estructura del menú ha sido construida en torno a los tres (3) niveles de estado de los proyectos de OWASP (Releases, Alpha y Beta). Cada área ha sido separada en documentos y herramientas (Doc y Tools) para hacer mas simples las actualizaciones. Las paginas Wiki ahora están ligadas para cada herramienta y documento de OWASP.
Más información sobre OWASP LiveCD
------------------------------------------------------------------------------------
OWASP Pantera Web Assessment Studio
Pantera usa una versión mejorada de SpikeProxy para proporcionar una poderosa maquina de análisis de aplicaciones Web
El objetivo principal de Pantera es combinar las capacidades automáticas con pruebas manuales completas para obtener los mejores resultados de pruebas de intrusión.
Más información sobre OWASP Pantera Web Assessment Studio
------------------------------------------------------------------------------------
OWASP SQLiX
SQLiX, programado en Perl, es un scanner de inyección SQL, capaz de rastrear, detectar inyecciones SQL, identificar el tipo de base de datos y obtener resultados UDF o de llamadas de función (inclusive ejecutar comandos del sistema para MS-SQL). Los conceptos en uso son diferentes a los usados en otros scanners de inyección SQL. SQLiX es capaz de encontrar inyección SQL normal y a ciegas y no necesita hacer ingeniería inversa a la petición SQL original.
Más información sobre OWASP SQLiX
------------------------------------------------------------------------------------
OWASP Validation
La mayoría de las plataformas de aplicaciones Web no incluyen características para validar entradas del usuario. Esto deja a muchas organizaciones a crear sus propios mecanismos de validación, normalmente incompletos, defectuosos e ineficientes.
El Proyecto de Validación de OWASP fue creado para proveer guía y herramientas relacionadas a la validación. Nuestra filosofía es que la validación es requerida para cada petición HTTP, incluyendo cabeceras, cadenas, cookies, formas, campos y campos ocultos.
Más información sobre OWASP Validation
------------------------------------------------------------------------------------
OWASP WSFuzzer
WSFuzzer es un programa LGPL, escrito en Python, que actualmente apunta hacia Web Services. En la versión actual los servicios SOAP basados en http son el principal objetivo. Esta herramienta fue creada basada en, y para automatizar, el trabajo de pruebas de intrusión manual para SOAP en el mundo real. Esta herramienta NO esta destinada para ser un reemplazo del análisis humano manual sólido. Por favor vea a WSFuzzer como una herramienta para aumentar el análisis realizado por profesionales reconocidos y competentes. Los servicios Web no son de naturaleza trivial así que la experiencia en esta área es necesaria para las correctas pruebas de intrusión.
Más información sobre OWASP WSFuzzer
------------------------------------------------------------------------------------
Página oficial del Proyecto OWASP
He habilitado un subforo de disucusión sobre los diferentes Proyectos OWASP
Articulo escrito por David Moreno (4v4t4r) para La Comunidad DragonJAR
David Moreno es Information Security Researcher con 10 años de experiencia en temáticas relacionadas con la Seguridad de la Información, Informática Forense, Ethical Hacking, Criptoanálisis y Análisis de Malware. Conferencista permanente en eventos nacionales e internacionales de seguridad informática
Es investigador especializado en la compañía DEFERO, donde realiza procedimientos avanzados en Test de Penetración, Identificación y Análisis de Vulnerabilidades, Investigaciones Forenses Digitales en conjunto con entidades del gobierno, analista de Malware y Criptoanálisis.