OWASP Awareness Day
Maximiliano Soler
OWASP Member
OWASP
@maxisoler
Education Project
Copyright 2007 © The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.
The OWASP Foundation
http://www.owasp.org
OWASP Mantra – Security Framework
Sobre mi
Maximiliano Soler trabaja como Analista de Seguridad, en
un Banco Internacional. Ha descubierto vulnerabilidades
en diferentes Aplicaciones Web y Sistemas Operativos.
Colabora en diferentes proyectos de código abierto y
organismos internacionales. Es fanático de los
estándares abiertos que son utilizados para realizar
pruebas de intrusión, asegurar software y catalogar los
diferentes tipos de ataques.
OWASP
2
OWASP Mantra – Security Framework
Objetivo de la Charla
Dar a conocer el proyecto en forma general, para que
cualquiera pueda utilizar esta herramienta en los
diferentes escenarios propuestos.
Namaskar
(saludo espiritual)
OWASP
3
OWASP Mantra – Security Framework
Qué es Mantra?
Mantra es una colección de herramientas gratuitas y libres
integradas en un Navegador Web.
El cual puede ser de gran utilidad para estudiantes,
penetration testers, desarrolladores de aplicaciones Web,
profesionales de la seguridad, etc.
OWASP
4
OWASP Mantra – Security Framework
Qué significa Mantra?
Mantra (तन्त्र en devanagari) es una palabra de
origen sánscrito, que está formada por los términos
manaḥ y trāyate, que se traducen como mente y
liberación.
Desde ese punto se dice que un mantra es:
“un instrumento para liberar la mente del flujo
constante de pensamientos que la confunden.”
OWASP
5
OWASP Mantra – Security Framework
Características
 Libre y Abierto (Open Source Spirit).
 Flexible.
 Portable.
 User-friendly.
 Interfaz Gráfica.
 Puede ser utilizado desde tarjetas de memoria, CD/DVDs, etc.
 Instalable en el sistema operativo en unos pocos minutos.
OWASP
6
OWASP Mantra – Security Framework
Qué NO es Mantra?
 No es una herramienta de “Pwnage”.
 No soluciona una única necesidad en particular.
 No reemplaza el típico navegador Web.
 No está completamente integrado a otras soluciones.
OWASP
7
OWASP Mantra – Security Framework
Por qué?
 Muchas extensiones disponibles oficiales y no oficiales.
 Analizar todas y cada una de las extensiones es una
tarea tediosa.
 Muchas extensiones pasan desapercibidas.
 Dar a conocer el Poder de la Plataforma del Navegador.
OWASP
8
OWASP Mantra – Security Framework
Cuándo utilizarlo?
 Auditando Aplicaciones Web.
 Realizando Pruebas de Intrusión.
 Evaluación de Vulnerabilidades.
 Capacitaciones.
OWASP
9
OWASP Mantra – Security Framework
Etapas de Ataque
Mantra cubre las 5 etapas de Ataque, las cuales son:
 Reconocimiento.
 Escaneo y Enumeración.
 Obtener el Acceso.
 Escalación de Privilegios.
 Mantener el Acceso y Cubrir las Huellas.
OWASP
10
OWASP Mantra – Security Framework
Actualidad: OWASP + Mantra + FireCAT
 Versión: Beta 0.61
 Nombre: Gandiva.
 Tamaño: ~35 MB (“instalador”)
 Portable: ~150 MB.
 Basado en Firefox.
OWASP
11
OWASP Mantra – Security Framework
Curiosidad: Gandiva
 Es el arco de Áryuna (en inglés
Arjuna), el héroe de la epopeya
mitológica Mahábharata.
 En la historia el Arco fue creado
por Brahman, un Espíritu
Supremo del hinduismo.
OWASP
12
OWASP Mantra – Security Framework
Características Principales
 Ayudha
Mantra contiene todo su set herramientas basado en la
estructura y lineamiento de FireCAT, el cual hace más
fácil el orden.
 Hackery
Mantra tiene una gran colección de favoritos (bookmarks),
que facilitan la búsqueda de información, el acceso a
diferentes medios de comunicación y herramientas
online.
OWASP
13
OWASP Mantra – Security Framework
¿Qué es FireCAT?
Mantra contiene todo su set herramientas basado en la
estructura y lineamiento de FireCAT, el cual hace más
fácil el orden.
La idea de FireCAT, surgió durante una prueba de intrusión.
Cuando fui desafiado a realizarlo, sin utilizar
herramientas. De esta manera, Firefox con extensiones
fue de gran ayuda. =)
OWASP
14
FireCAT v1.6.2
OWASP Mantra – Security Framework
Details
» Current Version: 1.6.2
» Addons: > 80
» Categories: 7
» Subcategories: 18
OWASP
15
OWASP Mantra – Security Framework
Security Framework
Your Browser
Your Security Distro
OWASP
16
OWASP Mantra – Security Framework
OWASP
17
OWASP Mantra – Security Framework
OWASP
18
OWASP Mantra – Security Framework
OWASP
19
OWASP Mantra – Security Framework
Categorías
 Information Gathering
 Whois
 Location Info
 Enumeration & Fingerprint
 Data Mining
 Editors
 Network Utilities
 Protocols & Applications
 Sniffers
 Passwords
OWASP
20
OWASP Mantra – Security Framework
Categorías
 Miscellaneous
 Tweaks & Hacks
 Malware Scanner
 Automation
 Others
 Application Auditing
 Proxy
OWASP
21
OWASP Mantra – Security Framework
DEMO
OWASP
22
OWASP Mantra – Security Framework
Resultado Final
personalizable
Flexible
Portable
User-Friendly
OWASP
23
OWASP Mantra – Security Framework
Cómo contribuir?
 Ser parte de la Comunidad (OWASP)
 Crear o Modificar Extensiones / Framework.
 Diseñando: Temas / Otros.
OWASP
24
OWASP Mantra – Security Framework
Conclusiones
 Mantra es flexible, puede ser adaptado a diferentes
escenarios.
 Podemos tener nuestro navegador personalizado, afilado
como una navaja suiza.
 Mantra no reemplaza otras herramientas o utilidades.
 Mantra debe utilizarse como un complemento para
llevar a cabo pruebas de intrusión sobre aplicaciones
Web.
OWASP
25
OWASP Mantra – Security Framework
Conclusiones
 Desde el punto de vista del desarrollador, es una
interesante plataforma desde la cual se pueden crear
extensiones muy fácilmente. (Gracias Mozilla!)
 Mantra puede ser utilizado por estudiantes y/o
profesionales de la seguridad.
 Creemos que cada desarrollador de extensiones es parte
de nuestra comunidad de desarrollo.
OWASP
26
OWASP Mantra – Security Framework
OWASP
27
OWASP Mantra – Security Framework
Algunas posibles preguntas
 ¿Cuál es el Futuro?
 Fortalecer la plataforma y orientarlo 100% a un Security
Framework.
 ¿Otros navegadores?
 Si, posiblemente Chrome. (Muy Pronto!)
 ¿Problemas con los Addons?
 A veces, queremos desarrollar los propios para poder
adaptarlos de forma más sencilla a Mantra.
OWASP
28
OWASP Mantra – Security Framework
Links
 OWASP Mantra
www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
 Mantra
www.getmantra.com
 FireCAT
www.firecat.fr
OWASP
29
OWASP Mantra – Security Framework
Mantra en la Red
 Foros
www.getmantra.com/forums
 Twitter
www.twitter.com/getmantra
 Facebook
www.facebook.com/getmantra
OWASP
30
OWASP Mantra – Security Framework
dhanyawad !
(gracias !)
Maximiliano Soler
e-Mail:
Twitter: @maxisoler
OWASP
31
Descargar

OWASP Awareness Day