Difference between revisions of "Spain/Meetings"

From OWASP
Jump to: navigation, search
(Local Meetings)
(Local Meetings)
Line 1: Line 1:
 
== Local Meetings ==
 
== Local Meetings ==
 
<center><b>Los meetings son GRATUITOS y abiertos al público</b></center>
 
<center><b>Los meetings son GRATUITOS y abiertos al público</b></center>
 +
 +
'''V OWASP Spain Chapter Meeting: 15 de mayo de 2009'''
 +
 +
<table width=50%>
 +
<tr>
 +
<td>Patrocinador principal:</td>
 +
<td>Colaboran en el patrocinio:</td>
 +
<td></td>
 +
</tr>
 +
<tr>
 +
<td>[http://www.isecauditors.com http://www.owasp.org/images/b/b6/Isecauditors_logo.jpg]</td>
 +
<td>[http://www.pstestware.com http://www.owasp.org/images/4/47/Ps_testware_logo.jpg]</td>
 +
<td>[http://www.ati.es http://www.owasp.org/images/7/73/ATI2.jpg]</td>
 +
</tr>
 +
<tr>
 +
</table>
 +
<br>
 +
<b>Presentaciones</b> ofrecidas en nuestro congreso:<br>
 +
 +
<table width=100%>
 +
<tr>
 +
<td bgcolor="#B3FF99">
 +
<b>Sintonizar la función de seguridad con el negocio</b><br>Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM. Miembro del Consejo Asesor. [http://www.sans.org SANS Institute]
 +
</td>
 +
</tr>
 +
<tr>
 +
<td align="justify" bgcolor="#c0e0e0">
 +
Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad.
 +
</td>
 +
</tr>
 +
<tr>
 +
<td bgcolor="#B3FF99">
 +
<b>LDAP Injection & Blind LDAP Injection</b><br>José María Alonso. Microsoft MVP Windows Security. Consultor de Seguridad. [http://www.informatica64.com Informatica64].
 +
</td>
 +
</tr>
 +
<tr>
 +
<td align="justify" bgcolor="#c0e0e0">
 +
Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas.
 +
</td>
 +
</tr>
 +
<tr>
 +
<td bgcolor="#B3FF99">
 +
<b>Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica.</b><br>Jorge Martín. Inspector. Jefe del Grupo de Seguridad Lógica. [http://www.policia.es Cuerpo Nacional de Policia]
 +
</td>
 +
</tr>
 +
<tr>
 +
<td align="justify" bgcolor="#c0e0e0">
 +
En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior.
 +
</td>
 +
</tr>
 +
<tr>
 +
<td bgcolor="#B3FF99">
 +
<b>Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP</b><br>Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. [http://www.ey.com Ernst & Young]
 +
</td>
 +
</tr>
 +
<tr>
 +
<td align="justify" bgcolor="#c0e0e0">
 +
Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web.
 +
</td>
 +
</tr>
 +
</table>
 +
<br>
 +
Y algunas fotografías:<br>
 +
<center>
 +
<table>
 +
<tr>
 +
<td>
 +
[http://www.owasp.org/images/2/28/Spain_20090515_1.JPG http://www.owasp.org/images/3/31/Spain_20090515_1_thumb.png]<br>[http://www.owasp.org/images/2/28/Spain_20090515_1.JPG ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/b/b4/Spain_20090515_2.JPG http://www.owasp.org/images/d/de/Spain_20090515_2_thumb.png]<br>[http://www.owasp.org/images/b/b4/Spain_20090515_2.JPG ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/d/d0/Spain_20090515_3.JPG http://www.owasp.org/images/7/79/Spain_20090515_3_thumb.png]<br>[http://www.owasp.org/images/d/d0/Spain_20090515_3.JPG ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/9/9e/Spain_20090515_4.JPG http://www.owasp.org/images/e/e8/Spain_20090515_4_thumb.png]<br>[http://www.owasp.org/images/9/9e/Spain_20090515_4.JPG ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/7/77/Spain_20090515_5.JPG http://www.owasp.org/images/9/93/Spain_20090515_5_thumb.png]<br>[http://www.owasp.org/images/7/77/Spain_20090515_5.JPG ampliar]
 +
</td>
 +
</tr>
 +
<tr>
 +
<td>
 +
[http://www.owasp.org/images/b/bb/Spain_20090515_6.JPG http://www.owasp.org/images/b/ba/Spain_20090515_6_thumb.png]<br>[http://www.owasp.org/images/b/bb/Spain_20090515_6.JPG ampliar]
 +
</td>
 +
<td align=center>
 +
[http://www.owasp.org/images/4/4f/Spain_20090515_7.JPG http://www.owasp.org/images/3/30/Spain_20090515_7_thumb.png]<br>[http://www.owasp.org/images/4/4f/Spain_20090515_7.JPG ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/5/55/Spain_20090515_8.JPG http://www.owasp.org/images/7/76/Spain_20090515_8_thumb.png]<br>[http://www.owasp.org/images/5/55/Spain_20090515_8.JPG ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/7/79/Spain_20090515_9.JPG http://www.owasp.org/images/1/1c/Spain_20090515_9_thumb.png]<br>[http://www.owasp.org/images/7/79/Spain_20090515_9.JPG ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/1/10/Spain_20090515_10.JPG http://www.owasp.org/images/b/be/Spain_20090515_10_thumb.png]<br>[http://www.owasp.org/images/1/10/Spain_20090515_10.JPG ampliar]
 +
</td>
 +
</tr>
 +
<tr>
 +
<td>
 +
[http://www.owasp.org/images/e/e3/IMG_0389.png http://www.owasp.org/images/e/eb/IMG_0389_thumb.png]<br>[http://www.owasp.org/images/e/e3/IMG_0389.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/1/1e/IMG_0390.png http://www.owasp.org/images/3/30/IMG_0390_thumb.png]<br>[http://www.owasp.org/images/1/1e/IMG_0390.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/8/89/IMG_0392.png http://www.owasp.org/images/4/41/IMG_0392_thumb.png]<br>[http://www.owasp.org/images/8/89/IMG_0392.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/2/2a/IMG_0398.png http://www.owasp.org/images/a/ad/IMG_0398_thumb.png]<br>[http://www.owasp.org/images/2/2a/IMG_0398.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/2/2a/IMG_0398.png http://www.owasp.org/images/a/ad/IMG_0398_thumb.png]<br>[http://www.owasp.org/images/2/2a/IMG_0398.png ampliar]
 +
</td>
 +
</tr>
 +
<tr>
 +
<td>
 +
[http://www.owasp.org/images/e/e3/IMG_0389.png http://www.owasp.org/images/e/eb/IMG_0389_thumb.png]<br>[http://www.owasp.org/images/e/e3/IMG_0389.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/1/1e/IMG_0390.png http://www.owasp.org/images/3/30/IMG_0390_thumb.png]<br>[http://www.owasp.org/images/1/1e/IMG_0390.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/8/89/IMG_0392.png http://www.owasp.org/images/4/41/IMG_0392_thumb.png]<br>[http://www.owasp.org/images/8/89/IMG_0392.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/2/2a/IMG_0398.png http://www.owasp.org/images/a/ad/IMG_0398_thumb.png]<br>[http://www.owasp.org/images/2/2a/IMG_0398.png ampliar]
 +
</td>
 +
<td>
 +
[http://www.owasp.org/images/2/2a/IMG_0398.png http://www.owasp.org/images/a/ad/IMG_0398_thumb.png]<br>[http://www.owasp.org/images/2/2a/IMG_0398.png ampliar]
 +
</td>
 +
</tr>
 +
</table>
 +
</center>
 +
  
 
  '''IV OWASP Spain Chapter Meeting: 21 de noviembre de 2008'''
 
  '''IV OWASP Spain Chapter Meeting: 21 de noviembre de 2008'''

Revision as of 07:38, 19 May 2009

Local Meetings

Los meetings son GRATUITOS y abiertos al público
V OWASP Spain Chapter Meeting: 15 de mayo de 2009
Patrocinador principal: Colaboran en el patrocinio:
Isecauditors_logo.jpg Ps_testware_logo.jpg ATI2.jpg


Presentaciones ofrecidas en nuestro congreso:

Sintonizar la función de seguridad con el negocio
Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM. Miembro del Consejo Asesor. SANS Institute

Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad.

LDAP Injection & Blind LDAP Injection
José María Alonso. Microsoft MVP Windows Security. Consultor de Seguridad. Informatica64.

Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas.

Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica.
Jorge Martín. Inspector. Jefe del Grupo de Seguridad Lógica. Cuerpo Nacional de Policia

En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior.

Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP
Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young

Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web.


Y algunas fotografías:

Spain_20090515_1_thumb.png
ampliar

Spain_20090515_2_thumb.png
ampliar

Spain_20090515_3_thumb.png
ampliar

Spain_20090515_4_thumb.png
ampliar

Spain_20090515_5_thumb.png
ampliar

Spain_20090515_6_thumb.png
ampliar

Spain_20090515_7_thumb.png
ampliar

Spain_20090515_8_thumb.png
ampliar

Spain_20090515_9_thumb.png
ampliar

Spain_20090515_10_thumb.png
ampliar

IMG_0389_thumb.png
ampliar

IMG_0390_thumb.png
ampliar

IMG_0392_thumb.png
ampliar

IMG_0398_thumb.png
ampliar

IMG_0398_thumb.png
ampliar

IMG_0389_thumb.png
ampliar

IMG_0390_thumb.png
ampliar

IMG_0392_thumb.png
ampliar

IMG_0398_thumb.png
ampliar

IMG_0398_thumb.png
ampliar


IV OWASP Spain Chapter Meeting: 21 de noviembre de 2008

Patrocinado por: Internet Security Auditors

Presentaciones ofrecidas en nuestro congreso:

Actuaciones realizadas en 2008 por el capítulo español de la OWASP
Vicente Aguilera Diaz, OWASP Spain Chapter Leader. OWASP

Esta breve presentación muestra las acciones realizadas o relacionadas directamente con nuestro capítulo a lo largo de 2008, así como la previsión de algunas de las acciones que llevaremos a cabo en 2009.

w3af: Un framework de test de intrusión web
José Ramón Palanco, CEO. Hazent Systems

El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa).

Análisis de Eco
Jesús Olmos González, Auditor Senior. Internet Security Auditors

Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan "eco") con el objetivo de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de "eco" en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques.

Microsoft Seguridad IT al descubierto
Simon Roses Femerling, ACE Security Services. Microsoft

La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio.

A fresh look into Information Gathering
Christian Martorella. Responsable de Auditoría. S21sec

En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web.


III OWASP Spain Chapter Meeting: 14 de marzo de 2008

Patrocinado por: Internet Security Auditors

Presentaciones ofrecidas en nuestro congreso:

Amenazas e incidentes de seguridad en entornos Web: realidad o ficción
Raúl Siles, Consultor de Seguridad independiente. raulsiles.com

Los entornos Web son uno de los objetivos principales en los ataques directos a organizaciones, y también actúan como medio de ataque sobre sus visitantes. La ponencia analiza amenazas, ataques e incidentes de seguridad reales que se están llevando a cabo en la actualidad sobre entornos Web corporativos, y sobre nuevos objetivos, las aplicaciones Web de los dispositivos embebidos.

Ataques a políticas de seguridad según contexto
Iñaki López/Daniel Cabezas, Responsables del Laboratorio de Seguridad Avanzada. Ernst&Young

Se presentará una aproximación a cómo inferir información acerca de redes o websites objetivos, sus relaciones y políticas de seguridad en base a información recabada públicamente. Incluirá demostración práctica.

La seguridad multinivel en servidores web
Luis Calero, Director Técnico. Pentest Consultores

La ponencia versará sobre la aplicación práctica de la seguridad multinivel -MLS- así como de las distintas tecnologías de control de accesos existentes: -DAC, MAC, DBAC, RBAC, RSBAC- en la securización de servidores web.

Herramientas de análisis estático de seguridad del código: estado del arte
Luís Rodriguez Berzosa, Responsable del laboratorio software. Application LifeCycle Solutions

En esta ponencia se examina la situación actual de la clase de herramientas de análisis estático de seguridad, que sin ejecutar el código del software, tratan de identificar las vulnerabilidades explotables en las aplicaciones y servicios web. Se determina el estado del arte de las herramientas académicas y de código abierto, la oferta de OWASP en este dominio, los límites de esta tecnología, y se proponen algunas ideas para mejorar la difusión y la cobertura desde OWASP.


Y algunas fotografías:

IMG_0379_thumb.png
ampliar

IMG_0380_thumb.png
ampliar

IMG_0384_thumb.png
ampliar

IMG_0388_thumb.png
ampliar

IMG_0389_thumb.png
ampliar

IMG_0390_thumb.png
ampliar

IMG_0392_thumb.png
ampliar

IMG_0398_thumb.png
ampliar

II OWASP Spain Chapter Meeting: 6 de julio de 2007

Patrocinado por: Internet Security Auditors

Presentaciones ofrecidas en nuestro congreso:

Seguridad en entornos financieros
Pedro Sánchez, Responsable de Seguridad. ATCA

Ataques DoS en aplicaciones Web
Jaime Blasco, Responsable de Seguridad. Eazel

Trust, Security and Usability
Roger Carhuatocto, NeS & DTM Product Manager. NetFocus

Programación segura: validación de entradas
Albert Puigsech, Auditor Senior. Internet Security Auditors


Y algunas fotografías:

IMG 0002-thumb.jpg
ampliar

IMG 0003-thumb.jpg
ampliar

IMG 0005-thumb.jpg
ampliar

IMG 0006-thumb.jpg
ampliar

IMG 0011-thumb.jpg
ampliar

IMG 0013-thumb.jpg
ampliar

IMG 0017-thumb.jpg
ampliar

IMG 0022-thumb.jpg
ampliar

I OWASP Spain Chapter Meeting: 16 de junio de 2006

Patrocinado por: Internet Security Auditors
Con la colaboración de: Centre de Supercomputació de Catalunya (CESCA)

Presentaciones ofrecidas en nuestro congreso:

La OWASP Foundation y los objetivos del capítulo español
Vicente Aguilera Díaz, OWASP Spain Chapter Leader. OWASP.

El proyecto OWASP Testing
Javier Fernández-Sanguino, Consultor. Germinus

Fortificando Aplicaciones Web desde la capa de Red
Carles Fragoso i Mariscal, Técnico de Seguridad. CESCA

Web Forensics
Jess Garcia, CEO de Jessland Security Services e instructor de SANS Institute.

Capturando y explotando servidores de correo ocultos
Vicente Aguilera Díaz, OWASP Spain Chapter Leader. OWASP.


Y algunas fotografías:

IMG_3149-thumb.jpg
ampliar

IMG_3154-thumb.jpg
ampliar

IMG_3155-thumb.jpg
ampliar

IMG_3156-thumb.jpg
ampliar

IMG_3158-thumb.jpg
ampliar

IMG_3159-thumb.jpg
ampliar

IMG_3167-thumb.jpg
ampliar

IMG_3171-thumb.jpg
ampliar