Skip to: [ home ] [ search ] [ menus ] [ content ] [ mostrar/esconder menu de contenido ]

01010010011000010110010001101001011011110101001001100101011000100110010101101100011001000110010100100001

OWASP: Top 10 y WebGoat

OWASP (Open Web Application Security Project), para el que no conoce esta comunidad, es un proyecto que ya tiene su tiempo trabajando para que entusiastas y/o profesionales tengan un lugar sonde informarse y actualizarse. Hoy voy a mostrarles dos proyecto que vienen presentando hace tiempo:

  • WebGoat 5.1
  • Top 10 Vulnerabilities (2007)

[0×01] WebGoat 5.1

WebGoat es una aplicacion desarrollada por OWASP y escrita en J2EE. Esta aplicacion consta en ser Insegura y esa es su funcion compartida con el objetivo de poder enseñarles a los interesados en seguridad de aplicaciones web una introducción a los diferentes ataques. Lo mejor de esto es que las vulnerabilidades son reales y la aplicacion te probee una explicacion del porque sucede y te brinda toda la ayuda para poder explotar esta vulnerabilidad, mostrandote una tabla con toda la informacion al transcurso de las lecciones. Algunas tecnicas son: XSS, XST, SQL Injection, Blind SQL Injection, HTTP Splitting, etc.. Me vi muy interesado en esto ya que es una salida, con mas informacion, que los tipicos “wargames”. Lo mejor de esto es que no presenta daño alguno a el sistema base (mientras no hagas nada raro con la seccion de Command Injection), presentando tambien un servidor propio (Tomcat) que se ejecuta al momento y abre el puerto 8080.

[0×02] Top 10 Vulnerabilities (2007)

Esta es una lista preparada por el grupo OWASP que demuestra las mas usadas y localizadas vulnerabilidades del 2007 en sitios importantes. En ella se ve como uno de los ataque mas usados, por los atacantes y despreciados por los desarrolladores, al Cross-Site Scripting (XSS). Como 2º puesto tenemos a un ataque muy especifico y poderoso, llamado SQL Injection, y en el 5º tenemos a algo visto en esta (en realidad la otra..) web que es el Cross-Site Request Forgery, que va subiendo de puestos de las cenizas..

Personalmente creo que hay que darle una mirada mas seria a esta tabla de contenidos, especialmente a las personas dedicadas a desarrollar, no necesariamente al entusiasta en el tema, porque ayuda a informarse de lo “nuevo” y que se usa en el momento para asi sanitizarlo y proteger infromacion sensible.

2 Comments to “OWASP: Top 10 y WebGoat”

  (RSS feed for these comments)

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Gracias por los aportes Sknight..

Bueno, como habran visto de cambio toda la perspectiva de la web, espero que les guste.

Si tienen alguna sugerencia solo diganlo que lo analizare.. :)
Saludos.

C1c4Tr1Z said this on April 3rd, 2008 at 1:30 pm

Me quitaste el artículo C1c4tr1Z! (naaa joda)

Recuerdo que en New-Bytes mencionaste en un mensaje uno de sus projectos, el WebScarab:

WebScarab Projecto

No obstante, dejo 1 pdfs de interés que saqué de la Comunidad DragonJAR sobre este proyecto y otro de la versión 1.0 del proyecto:

Guía de Pruebas OWASP v2.0.pdf
OWASP Testing Project v1.pdf

Sknight said this on April 2nd, 2008 at 8:52 am