Download OWASP Mantra

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
Document related concepts
no text concepts found
Transcript 
OWASP Awareness Day
Maximiliano Soler
OWASP Member
OWASP
@maxisoler
Education Project
Copyright 2007 © The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.
The OWASP Foundation
http://www.owasp.org
OWASP Mantra – Security Framework
Sobre mi
Maximiliano Soler trabaja como Analista de Seguridad, en
un Banco Internacional. Ha descubierto vulnerabilidades
en diferentes Aplicaciones Web y Sistemas Operativos.
Colabora en diferentes proyectos de código abierto y
organismos internacionales. Es fanático de los
estándares abiertos que son utilizados para realizar
pruebas de intrusión, asegurar software y catalogar los
diferentes tipos de ataques.
OWASP
2
OWASP Mantra – Security Framework
Objetivo de la Charla
Dar a conocer el proyecto en forma general, para que
cualquiera pueda utilizar esta herramienta en los
diferentes escenarios propuestos.
Namaskar
(saludo espiritual)
OWASP
3
OWASP Mantra – Security Framework
Qué es Mantra?
Mantra es una colección de herramientas gratuitas y libres
integradas en un Navegador Web.
El cual puede ser de gran utilidad para estudiantes,
penetration testers, desarrolladores de aplicaciones Web,
profesionales de la seguridad, etc.
OWASP
4
OWASP Mantra – Security Framework
Qué significa Mantra?
Mantra (तन्त्र en devanagari) es una palabra de
origen sánscrito, que está formada por los términos
manaḥ y trāyate, que se traducen como mente y
liberación.
Desde ese punto se dice que un mantra es:
“un instrumento para liberar la mente del flujo
constante de pensamientos que la confunden.”
OWASP
5
OWASP Mantra – Security Framework
Características
 Libre y Abierto (Open Source Spirit).
 Flexible.
 Portable.
 User-friendly.
 Interfaz Gráfica.
 Puede ser utilizado desde tarjetas de memoria, CD/DVDs, etc.
 Instalable en el sistema operativo en unos pocos minutos.
OWASP
6
OWASP Mantra – Security Framework
Qué NO es Mantra?
 No es una herramienta de “Pwnage”.
 No soluciona una única necesidad en particular.
 No reemplaza el típico navegador Web.
 No está completamente integrado a otras soluciones.
OWASP
7
OWASP Mantra – Security Framework
Por qué?
 Muchas extensiones disponibles oficiales y no oficiales.
 Analizar todas y cada una de las extensiones es una
tarea tediosa.
 Muchas extensiones pasan desapercibidas.
 Dar a conocer el Poder de la Plataforma del Navegador.
OWASP
8
OWASP Mantra – Security Framework
Cuándo utilizarlo?
 Auditando Aplicaciones Web.
 Realizando Pruebas de Intrusión.
 Evaluación de Vulnerabilidades.
 Capacitaciones.
OWASP
9
OWASP Mantra – Security Framework
Etapas de Ataque
Mantra cubre las 5 etapas de Ataque, las cuales son:
 Reconocimiento.
 Escaneo y Enumeración.
 Obtener el Acceso.
 Escalación de Privilegios.
 Mantener el Acceso y Cubrir las Huellas.
OWASP
10
OWASP Mantra – Security Framework
Actualidad: OWASP + Mantra + FireCAT
 Versión: Beta 0.61
 Nombre: Gandiva.
 Tamaño: ~35 MB (“instalador”)
 Portable: ~150 MB.
 Basado en Firefox.
OWASP
11
OWASP Mantra – Security Framework
Curiosidad: Gandiva
 Es el arco de Áryuna (en inglés
Arjuna), el héroe de la epopeya
mitológica Mahábharata.
 En la historia el Arco fue creado
por Brahman, un Espíritu
Supremo del hinduismo.
OWASP
12
OWASP Mantra – Security Framework
Características Principales
 Ayudha
Mantra contiene todo su set herramientas basado en la
estructura y lineamiento de FireCAT, el cual hace más
fácil el orden.
 Hackery
Mantra tiene una gran colección de favoritos (bookmarks),
que facilitan la búsqueda de información, el acceso a
diferentes medios de comunicación y herramientas
online.
OWASP
13
OWASP Mantra – Security Framework
¿Qué es FireCAT?
Mantra contiene todo su set herramientas basado en la
estructura y lineamiento de FireCAT, el cual hace más
fácil el orden.
La idea de FireCAT, surgió durante una prueba de intrusión.
Cuando fui desafiado a realizarlo, sin utilizar
herramientas. De esta manera, Firefox con extensiones
fue de gran ayuda. =)
OWASP
14
FireCAT v1.6.2
OWASP Mantra – Security Framework
Details
» Current Version: 1.6.2
» Addons: > 80
» Categories: 7
» Subcategories: 18
OWASP
15
OWASP Mantra – Security Framework
Security Framework
Your Browser
Your Security Distro
OWASP
16
OWASP Mantra – Security Framework
OWASP
17
OWASP Mantra – Security Framework
OWASP
18
OWASP Mantra – Security Framework
OWASP
19
OWASP Mantra – Security Framework
Categorías
 Information Gathering
 Whois
 Location Info
 Enumeration & Fingerprint
 Data Mining
 Editors
 Network Utilities
 Protocols & Applications
 Sniffers
 Passwords
OWASP
20
OWASP Mantra – Security Framework
Categorías
 Miscellaneous
 Tweaks & Hacks
 Malware Scanner
 Automation
 Others
 Application Auditing
 Proxy
OWASP
21
OWASP Mantra – Security Framework
DEMO
OWASP
22
OWASP Mantra – Security Framework
Resultado Final
personalizable
Flexible
Portable
User-Friendly
OWASP
23
OWASP Mantra – Security Framework
Cómo contribuir?
 Ser parte de la Comunidad (OWASP)
 Crear o Modificar Extensiones / Framework.
 Diseñando: Temas / Otros.
OWASP
24
OWASP Mantra – Security Framework
Conclusiones
 Mantra es flexible, puede ser adaptado a diferentes
escenarios.
 Podemos tener nuestro navegador personalizado, afilado
como una navaja suiza.
 Mantra no reemplaza otras herramientas o utilidades.
 Mantra debe utilizarse como un complemento para
llevar a cabo pruebas de intrusión sobre aplicaciones
Web.
OWASP
25
OWASP Mantra – Security Framework
Conclusiones
 Desde el punto de vista del desarrollador, es una
interesante plataforma desde la cual se pueden crear
extensiones muy fácilmente. (Gracias Mozilla!)
 Mantra puede ser utilizado por estudiantes y/o
profesionales de la seguridad.
 Creemos que cada desarrollador de extensiones es parte
de nuestra comunidad de desarrollo.
OWASP
26
OWASP Mantra – Security Framework
OWASP
27
OWASP Mantra – Security Framework
Algunas posibles preguntas
 ¿Cuál es el Futuro?
 Fortalecer la plataforma y orientarlo 100% a un Security
Framework.
 ¿Otros navegadores?
 Si, posiblemente Chrome. (Muy Pronto!)
 ¿Problemas con los Addons?
 A veces, queremos desarrollar los propios para poder
adaptarlos de forma más sencilla a Mantra.
OWASP
28
OWASP Mantra – Security Framework
Links
 OWASP Mantra
www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
 Mantra
www.getmantra.com
 FireCAT
www.firecat.fr
OWASP
29
OWASP Mantra – Security Framework
Mantra en la Red
 Foros
www.getmantra.com/forums
 Twitter
www.twitter.com/getmantra
 Facebook
www.facebook.com/getmantra
OWASP
30
OWASP Mantra – Security Framework
dhanyawad !
(gracias !)
Maximiliano Soler
e-Mail:
Twitter: @maxisoler
OWASP
31
Related documents
Sistema de administración y supervisión de equipos en una red de
Sistema de administración y supervisión de equipos en una red de
Incorporando seguridad a las componentes de interfaz de usuario
Incorporando seguridad a las componentes de interfaz de usuario
Hacia un arquitectura de buenas prácticas de seguridad para
Hacia un arquitectura de buenas prácticas de seguridad para
Gestionar el acceso del usuario
Gestionar el acceso del usuario
Análisis Forense con Autopsy 2
Análisis Forense con Autopsy 2
Descargar
Descargar
Herramienta de análisis estático de código para encontrar
Herramienta de análisis estático de código para encontrar
Temario - espe
Temario - espe
Tinfoleak: analizando nuestras pautas y
Tinfoleak: analizando nuestras pautas y
RESUMEN En la actualidad las aplicaciones web se han vuelto
RESUMEN En la actualidad las aplicaciones web se han vuelto