Contenido

OWASP (OPEN WEB APPLICATION SECURITY PROJECT)...............................................................3

LOS 10 HACKERS MÁS PODEROSOS DEL MUNDO....................................................................3
OWASP TOP 10.........................................................................................................................5
OWASP TOP 10 2010................................................................................................................5
A1: INJECTION......................................................................................................................6
A2: CROSS SITE SCRIPTING...................................................................................................7
A3: BROKEN AUTHENTICATION AND SESSION MANAGEMENT............................................8
A4: INSECURE DIRECT OBJECT REFERENCE...........................................................................9
A5: CROSS SITE REQUEST FORGERY....................................................................................10
A6: SECURITY MISCONFIGURATION...................................................................................11
A7: FAILED TO RESTRICT URL ACCES...................................................................................11
A8: UNVALIDATED REDIRECTS AND FORWARDS................................................................12
A9: INSECURE CRYPTOGRAPHIC STORAGE.........................................................................13
A10: INSUFFICIENT TRANSPORT LAYER PROTECTION.........................................................14
BIBLIOGRAFIA:........................................................................................................................16

OWASP Pá gina 2
 OWASP (OPEN WEB APPLICATION SECURITY PROJECT)
Traducido al español significa Proyecto de Seguridad de Aplicaciones Web
Abiertas. Es un proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.

La Fundación OWASP es un organismo sin ánimo de lucro que apoya y

gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP
está formada por empresas, organizaciones educativas y particulares de todo
mundo. Juntos constituyen una comunidad de seguridad informática que
trabaja para crear artículos, metodologías, documentación, herramientas y
tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

OWASP es un nuevo tipo de entidad en el mercado de seguridad informática.

Estar libre de presiones corporativas facilita que OWASP proporcione
información imparcial, práctica y redituable sobre seguridad de aplicaciones
informática.

LOS 10 HACKERS MÁS PODEROSOS DEL MUNDO

La lista la encabeza Kevin Mitnick. El Departamento de Justicia de los

Estados Unidos lo etiquetó como “el criminal informático más buscado de la
historia” de ese país. Desde los '80, cobró fama por penetrar sistemas ultra
protegidos, como los de Nokia y Motorola, robar secretos corporativos y hasta
hackear a otros hackers. Mitnick fue encarcelado en 1995, inspiró libros y
películas, y hoy encabeza una empresa de seguridad informática.

Kevin Poulsen quedó segundo. Uno de sus golpes más famosos fue alterar
las líneas telefónicas de Los Angeles, California, para hacer el llamado ganador
de un Porsche en un concurso organizado por una radio. Fue preso tras atacar
una base de datos del FBI. Hoy es editor de la revista Wired y en 2006 ayudó a
identificar a 744 abusadores de niños vía MySpace.

Le sigue Adrian Lamo, conocido como el “hacker vagabundo” por hacer todos
sus ataques desde cibercafés. Logró penetrar redes como la de Microsoft y la
de The New York Times, hasta se anotó en su base de datos de expertos. Hoy
es periodista.

OWASP Pá gina 3
En el cuarto puesto está Steve Wozniak. Su carrera de hacker la hizo en los
'70, cuando engañaba los sistemas telefónicos para hacer llamadas gratis: se
dice que hasta llamó al Papa. Luego dejó el oficio para fundar Apple junto a su
amigo Steve Jobs.

Loyd Blankenship se ubicó en el quinto lugar. Más allá de sus ataques, es

famoso por escribir en prisión (1986) un manifiesto en el que dice que el único
crimen de un hacker es su curiosidad. Sus ideas inspiraron la cinta Hackers,
donde actuó Angelina Jolie.

Sexto quedó Michael Calce, quien en 2000 saboteó simultáneamente eBay,

Amazon y Yahoo durante el Día de San Valentín. Tenía apenas 15 años y fue
arrestado sólo porque fue sorprendido vanagloriándose de su hazaña en
algunos chats.

En el puesto siete quedó Robert Tappan Morris, quien en 1988 liberó un virus
tipo gusano que infectó a seis mil aparatos Unix y causó pérdidas millonarias.
Morris fue el primer condenado por la ley de fraude computacional de los EEUU
y un disco duro que contiene el código de su virus se exhibe en el Museo de la
Ciencia de Boston.

El grupo Masters of Deception (MoD) quedó en el octavo lugar. ¿Sus méritos?

En los '80 se dieron un festín atacando los sistemas telefónicos
norteamericanos. Su mayor golpe fue entrar al sistema de la compañía ATyT.
Fueron procesados en 1992 y varios terminaron presos.

Cierran la lista David L. Smith y Sven Jaschan. El primero fue a prisión por
crear el virus Melissa, el primero en transmitirse exitosamente por correo
electrónico y que provocó 80 millones de dólares en pérdidas en 1999.

En tanto, Jaschan fue el cerebro de los gusanos Netsky y Sasser, causantes

del 70% de los problemas que vivió internet en 2004. Ahora trabaja en una
compañía de seguridad informática.

OWASP Pá gina 4
OWASP TOP 10
Es un documento: 21 páginas

 Gratuito

 Los 10 riesgos más críticos

 Evoluciona y se adapta

 El principal objetivo es educar

OWASP TOP 10 2010

Cambios destacados en esta versión (frente a 2007):

 Se centra en los riesgos (no en vulnerabilidades)

 Se reordena el Top 10 debido a que la metodología para elaborar el

ránking ha cambiado

 Se incorporan dos elementos:

 Security Misconfiguration

 Unvalidated Redirect and Forwards

 Se eliminan dos elementos:

 Malicious File Execution .

 Information Leakage and Improper Error Handling.

 Y la maquetación del documento.

OWASP Pá gina 5
A1: INJECTION
Descripción:

 La aplicación envía a un intérprete datos no validados correctamente y

que pueden ser manipulados por el usuario.

Posibilita:

 Ejecución de consultas/comandos arbitrarios en el intérprete afectado.

Recomendaciones:

 Evitar el uso de intérpretes siempre que sea posible. En caso de resultar

necesario, utilizar APIs seguras.

 Validaciones de los datos de entrada: basadas en white-list para todos

los datos de entrada.

 Antes de validar el dato de entrada es necesario decodificarlo y

convertirlo a su forma más simple

 Seguir el principio de mínimo privilegio en las conexiones con bases de

datos y otros componentes

OWASP Pá gina 6
  No utilizar consultas dinámicas, sino parametrizadas.

A2: CROSS SITE SCRIPTING

Descripción:

 La aplicación retorna al navegador web datos no validados

correctamente y que pueden ser alterados por el usuario.

Posibilita:

 Secuestro de sesión, defacement, control del navegador del usuario, etc.

Recomendaciones
 Validaciones de los datos de entrada: basadas en white-list para todos
los datos de entrada.

 Fuerte codificación de salida: todos los datos facilitados por el usuario

han de ser codificados antes de ser retornados al cliente. Especificar la
codificación de caracteres en cada página (por ejemplo: ISO-8859-1 o
UTF-8).

A3: BROKEN AUTHENTICATION AND SESSION MANAGEMENT

Descripción

OWASP Pá gina 7
  Deficiencias en la implementación de las funciones de autenticación de
usuarios.

Posibilita

 Obtener contraseñas o IDs de sesión de otros usuarios, suplantando su

identidad.

Recomendaciones

 Las credenciales deben viajar por un canal seguro (SSL)

 Las credenciales deben ser almacenadas en forma de hash o utilizando

cifrado.

 Utilizar la gestión de sesiones del propio framework.

 No aceptar nuevos identificadores de sesión desde el usuario.

 El formulario de login deben ser accedido vía HTTPs. Comenzar el

proceso de login desde una segunda página en la que se haya generado
un nuevo ID de sesión.

 Cada página debe incluir la opción de logout.

 Utilizar time-out por inactividad (preferiblemente de pocos minutos)

 No exponer credenciales (login y/o password) o identificadores de sesión

en la URL.

OWASP Pá gina 8
  Verificar el password anterior al solicitar un cambio de contraseña.

A4: INSECURE DIRECT OBJECT REFERENCE

Descripción
 Exposición de una referencia a un objeto interno sin los debidos
controles de seguridad.
Posibilita
 Acceso a datos no autorizados.

Recomendaciones
 Utilizar referencias indirectas. Por jemplo:
http://www.example.com/application/file=1

 Establecer un estándar a la hora de hacer referencia a objetos del

servidor.

 Evitar exponer a los usuarios referencias directas a objetos (como

nombres de fichero o claves primarias).

 Validar cualquier referencia a un objeto utilizado white-list.

 Verificar el nivel de autorización sobre los objetos referenciados.

A5: CROSS SITE REQUEST FORGERY

Descripción:

OWASP Pá gina 9
  Fuerza al navegador de la víctima (autenticada) a realizar una petición
HTTP, incluyendo la cookie de sesión u otra información que permite
autenticar al usuario.

Posibilita:

 Forzar acciones no deseadas por parte del usuario en la aplicación

vulnerable.

Recomendaciones:

 Verificar que la aplicación no basa la autenticación del usuario

únicamente en credenciales o tokens transmitidos automáticamente por
el navegador.

 Utilizar un token adicional, criptográficamente seguro, que no se

transmita de forma automática por el navegador (por ejemplo, campo
oculto de formulario o parámetro de URL)

 Verificar que la aplicación no sufre vulnerabilidades de tipo XSS

 En el acceso a datos u operativas sensibles, re-autenticar al usuario.

 Aceptar únicamente el método POST para transmitir información

sensible.

A6: SECURITY MISCONFIGURATION

Descripción:
 Uso de configuraciones de seguridad deficientes o por defecto.
OWASP Pá gina 10
Posibilita:
 Explotar vulnerabilidades en la aplicación, servidores web/aplicación, u
otros componentes.

Recomendaciones:
 Uso de guías de securización.

 Mantener actualizadas todas las plataformas.

 Analizar las implicaciones de los cambios realizados en las plataformas.

A7: FAILED TO RESTRICT URL ACCES

Descripción:
 Ausencia de controles de autenticación/autorización en el acceso a
recursos privados.
Posibilita:
 Acceso no autorizado a recursos privados.

OWASP Pá gina 11
Recomendaciones:
 Disponer de una matriz de roles y funciones de la aplicación, como parte
del diseño de la aplicación.
 La aplicación debe verificar el control de acceso en cada petición.
 Llevar a cabo pentests (tests de intrusión) tras el despliegue de la
aplicación.
 No basar la seguridad en la ofuscación.
 Denegar el acceso a tipos de ficheros que la aplicación no debería
servir. Basar la validación en una white-list (por ejemplo: .html, .pdf, .jsp).

A8: UNVALIDATED REDIRECTS AND FORWARDS

Descripción:
 Uso de datos no validados correctamente para realizar redirecciones a
otros recursos.
Posibilita:
 Redirigir a los usuarios a sitios de phishing o malware, o acceso a
recursos no autorizados.

OWASP Pá gina 12
Recomendaciones:
 Intentar evitar el uso de redirecciones.
 No utilizar parámetros que puedan ser manipulados por el usuario como
parte de la URL, o verificar cada parámetro para verificar que es válido y
autorizado para el usuario.
 Validar la URL después de haberla “calculado”.

A9: INSECURE CRYPTOGRAPHIC STORAGE

Descripción:

 Datos sensibles no protegidos con el cifrado adecuado.

Posibilita:

 Fraude con tarjetas de crédito, suplantación de identidades, etc.

OWASP Pá gina 13
Recomendaciones:

 Verificar que todo lo que debiera ser cifrado realmente lo está.

 No crear algoritmos criptográficos. Usar únicamente algoritmos públicos
reconocidos (como AES, RSA, y SHA-256)
 No utilizar algoritmos considerados débiles (como MD5 o SHA1)
 Nunca transmitir claves privadas por canales inseguros.
 Verificar que las credenciales de toda la infraestructura (como base de
datos) se encuentran correctamente securizadas (permisos del sistema
de ficheros, cifrado, etc.)
 No almacenar información innecesaria. Por ejemplo, según PCI DSS
nunca se debe almacenar el número CVV asociado a la tarjeta de
crédito.

A10: INSUFFICIENT TRANSPORT LAYER PROTECTION

Descripción:

 Comunicaciones sensibles viajan por un canal no cifrado.

Posibilita:

 Acceso a información sensible mediante la captura del tráfico.

OWASP Pá gina 14
Recomendaciones

 Utilizar SSL en cualquier comunicación autenticada o al transmitir

información sensible (credenciales, datos de tarjetas, información
personal, etc.)
 Verificar que la comunicación entre componentes (por ejemplo, servidor
web y base de datos) también utiliza un canal seguro.
 Según el requerimiento 4 de PCI DSS hay que proteger los datos que se
transmiten sobre las tarjetas de crédito.

OWASP Pá gina 15
BIBLIOGRAFIA:
 http://www.fistconference.org/files/owasp_top_10_2010fistvicente_aguile
ra_20100226.pdf

 http://es.wikipedia.org/wiki/OWASP

 http://www.taringa.net/posts/info/4755683/los-10-hackers-mas-
poderosos-del-mundo.html

OWASP Pá gina 16