15 septiembre, 2010
Esta conferencia está dirigida Auditores, a expertos en quality assurance, testing, testing funcional, seguridad informática, profesionales que se desempeñan en empresas de IT, estudiantes universitarios, comunidad “open source” y cualquier interesado en el tema.
Conferencia Gratuita
Presentado por el Capítulo Buenos Aires de la Information Systems Audit & Control Association
Contenido:
La presentación estará enfocada a introducir al participante al mundo de la seguridad en aplicaciones web, las vulnerabilidades existentes y las metodologías utilizadas para realizar pruebas funcionales y de seguridad.
Adicionalmente, se presentará el framework w3af, una herramienta “open source” desarrollada por Andrés Riancho.
Temario:
- Introducción a HTTP
- Introducción a OWASP
- OWASP Top 10
- Vulnerabilidades en aplicaciones Web
a. Cross Site Scripting
b. SQL Injection
c. Local File Includes
d. Remote File Includes
e. Path Traversal
f. Cross Site Request Forger - Metodologías de análisis de seguridad Web
a. White Box Testing
b. Static Code analyzers
c. Black Box Testing
d. Web Application Security Scanners - w3af
a. Features principales
b. Plugins
c. Demo - Conclusiones
Expositorres:
Andrés Riancho
Es investigador en seguridad informática y fundador de Bonsai (http://www.bonsai-sec.com), donde se desarrollan principalmente tareas de “Penetration Testing” y “Vulnerability Research”. En el campo de la investigación, Andrés ha descubierto vulnerabilidades críticas en appliances IPS’de 3Com e ISS y ha contribuido con la investigación sobre SAP. Su foco principal siempre ha sido la seguridad en las aplicaciones Web y en esta área ha desarrollado el software w3af, Web Application Attack and Audit Framework, el cual es utilizado ampliamente por penetration testers y consultores de seguridad. Ha dictado trainings en numerosas conferencias de seguridad alrededor del mundo, tales como OWASP World C0n (USA), CanSecWest (Canadá), T2 (Finlandia) y ekoparty (Buenos Aires). Es fundador de Bonsai (en 2009) creada para continuar con la investigación sobre detección y explotación automatizada de vulnerabilidades en aplicaciones Web.
Martín Tartarelli
Es especialista en seguridad informática de Red Link, donde lidera distintos proyectos de seguridad IT y SDLC. En el campo operativo principalmente gestiona y desarrolla tareas de networking, diseño y manejo de incidentes. Implementó soluciones y metodologías de seguridad en varias compañías multinacionales de Europa y América Latina, como consultor. En forma independiente es colaborador del proyecto “open source w3af” y actualmente lidera el capítulo de OWASP Argentina donde se organizan reuniones, charlas y se tratan diversos proyectos vinculados a la seguridad de aplicaciones web.
FECHA: Lunes 27 de setiembre de 2010
HORARIO: De 9.30 a 11.30 Hs.
LUGAR: Edificio SIGEN – Av. Corrientes 389 Piso 1 CA Autónoma de Buenos Aires
LA ENTRADA ES LIBRE Y GRATUITA.
Para inscripción e informes pueden conectarnos de 11.00 a 18.00 Hs.:
- · Av. Corrientes 389 – entrepiso – CA Buenos Aires
- · Por teléfono o fax (54-11) 4317-2855 o al 4312-8111 int. 2918
- · Por correo electrónico: info@adacsi.org.ar
Los esperamos!
ADACSI- ISACA Buenos Aires Chapter
Av.Corrientes 389 EP (1327), Buenos Aires, Argentina
Tel: Directo/Fax: (54-11) 4317-2855
Tel: (54-11) 4312-8111 Interno 2918
Email: info@adacsi.org.ar
