Copyright 2007 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
OWASP Awareness Day
Maximiliano SolerOWASP Member
@maxisoler
Education Project
2OWASP
OWASP Mantra – Security Framework
Sobre mi
Maximiliano Soler trabaja como Analista de Seguridad, en un Banco Internacional. Ha descubierto vulnerabilidades en diferentes Aplicaciones Web y Sistemas Operativos.
Colabora en diferentes proyectos de código abierto y organismos internacionales. Es fanático de los estándares abiertos que son utilizados para realizar pruebas de intrusión, asegurar software y catalogar los diferentes tipos de ataques.
3OWASP
OWASP Mantra – Security Framework
Objetivo de la Charla
Dar a conocer el proyecto en forma general, para que cualquiera pueda utilizar esta herramienta en los diferentes escenarios propuestos.
Namaskar(saludo espiritual)
4OWASP
OWASP Mantra – Security Framework
Qué es Mantra?
Mantra es una colección de herramientas gratuitas y libres integradas en un Navegador Web.
El cual puede ser de gran utilidad para estudiantes, penetration testers, desarrolladores de aplicaciones Web, profesionales de la seguridad, etc.
5OWASP
OWASP Mantra – Security Framework
Qué significa Mantra?
Mantra (तन्त्र en devanagari) es una palabra de origen sánscrito, que está formada por los términos manaḥ y trāyate, que se traducen como mente y liberación.
Desde ese punto se dice que un mantra es:“un instrumento para liberar la mente del
flujo constante de pensamientos que la confunden.”
6OWASP
OWASP Mantra – Security Framework
Características
Libre y Abierto (Open Source Spirit).
Flexible.
Portable.
User-friendly.
Interfaz Gráfica.
Puede ser utilizado desde tarjetas de memoria, CD/DVDs,
etc.
Instalable en el sistema operativo en unos pocos minutos.
7OWASP
OWASP Mantra – Security Framework
Qué NO es Mantra?
No es una herramienta de “Pwnage”.
No soluciona una única necesidad en particular.
No reemplaza el típico navegador Web.
No está completamente integrado a otras
soluciones.
8OWASP
OWASP Mantra – Security Framework
Por qué?
Muchas extensiones disponibles oficiales y no
oficiales.
Analizar todas y cada una de las extensiones es
una tarea tediosa.
Muchas extensiones pasan desapercibidas.
Dar a conocer el Poder de la Plataforma del
Navegador.
9OWASP
OWASP Mantra – Security Framework
Cuándo utilizarlo?
Auditando Aplicaciones Web.
Realizando Pruebas de Intrusión.
Evaluación de Vulnerabilidades.
Capacitaciones.
10OWASP
OWASP Mantra – Security Framework
Etapas de Ataque
Mantra cubre las 5 etapas de Ataque, las cuales son:
Reconocimiento. Escaneo y Enumeración. Obtener el Acceso. Escalación de Privilegios. Mantener el Acceso y Cubrir las Huellas.
11OWASP
OWASP Mantra – Security Framework
Actualidad: OWASP + Mantra + FireCAT
Versión: Beta 0.61 Nombre: Gandiva. Tamaño: ~35 MB (“instalador”) Portable: ~150 MB. Basado en Firefox.
12OWASP
OWASP Mantra – Security Framework
Curiosidad: Gandiva
Es el arco de Áryuna (en inglés Arjuna), el héroe de la epopeya mitológica Mahábharata.
En la historia el Arco fue creado por Brahman, un Espíritu Supremo del hinduismo.
13OWASP
OWASP Mantra – Security Framework
Características Principales
AyudhaMantra contiene todo su set herramientas basado
en la estructura y lineamiento de FireCAT, el cual hace más fácil el orden.
HackeryMantra tiene una gran colección de favoritos
(bookmarks), que facilitan la búsqueda de información, el acceso a diferentes medios de comunicación y herramientas online.
14OWASP
OWASP Mantra – Security Framework
¿Qué es FireCAT?
Mantra contiene todo su set herramientas basado en la estructura y lineamiento de FireCAT, el cual hace más fácil el orden.
La idea de FireCAT, surgió durante una prueba de intrusión. Cuando fui desafiado a realizarlo, sin utilizar herramientas. De esta manera, Firefox con extensiones fue de gran ayuda. =)
15OWASP
OWASP Mantra – Security Framework
Details» Current Version: 1.6.2» Addons: > 80» Categories: 7» Subcategories: 18
FireCAT v1.6.2
20OWASP
OWASP Mantra – Security Framework
Categorías
Information Gathering Whois Location Info Enumeration & Fingerprint Data Mining
Editors
Network Utilities Protocols & Applications Sniffers Passwords
21OWASP
OWASP Mantra – Security Framework
Categorías
Miscellaneous Tweaks & Hacks Malware Scanner Automation Others
Application Auditing
Proxy
23OWASP
OWASP Mantra – Security Framework
Resultado Final
p e r s o n a l i z a b l e
Flexible Portable User-Friendly
24OWASP
OWASP Mantra – Security Framework
Cómo contribuir?
Ser parte de la Comunidad (OWASP)
Crear o Modificar Extensiones / Framework.
Diseñando: Temas / Otros.
25OWASP
OWASP Mantra – Security Framework
Conclusiones
Mantra es flexible, puede ser adaptado a diferentes
escenarios.
Podemos tener nuestro navegador personalizado,
afilado como una navaja suiza.
Mantra no reemplaza otras herramientas o utilidades.
Mantra debe utilizarse como un complemento para
llevar a cabo pruebas de intrusión sobre aplicaciones
Web.
26OWASP
OWASP Mantra – Security Framework
Conclusiones
Desde el punto de vista del desarrollador, es una interesante plataforma desde la cual se pueden crear extensiones muy fácilmente. (Gracias Mozilla!)
Mantra puede ser utilizado por estudiantes y/o profesionales de la seguridad.
Creemos que cada desarrollador de extensiones es parte de nuestra comunidad de desarrollo.
28OWASP
OWASP Mantra – Security Framework
Algunas posibles preguntas
¿Cuál es el Futuro? Fortalecer la plataforma y orientarlo 100% a un
Security Framework.
¿Otros navegadores? Si, posiblemente Chrome. (Muy Pronto!)
¿Problemas con los Addons? A veces, queremos desarrollar los propios para
poder adaptarlos de forma más sencilla a Mantra.
29OWASP
OWASP Mantra – Security Framework
Links
OWASP Mantrawww.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
Mantrawww.getmantra.com
FireCATwww.firecat.fr
30OWASP
OWASP Mantra – Security Framework
Mantra en la Red
Foroswww.getmantra.com/forums
Twitterwww.twitter.com/getmantra
Facebookwww.facebook.com/getmantra