Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OWASP Pá gina 2
OWASP (OPEN WEB APPLICATION SECURITY PROJECT)
Traducido al español significa Proyecto de Seguridad de Aplicaciones Web
Abiertas. Es un proyecto de código abierto dedicado a determinar y combatir
las causas que hacen que el software sea inseguro.
Kevin Poulsen quedó segundo. Uno de sus golpes más famosos fue alterar
las líneas telefónicas de Los Angeles, California, para hacer el llamado ganador
de un Porsche en un concurso organizado por una radio. Fue preso tras atacar
una base de datos del FBI. Hoy es editor de la revista Wired y en 2006 ayudó a
identificar a 744 abusadores de niños vía MySpace.
Le sigue Adrian Lamo, conocido como el “hacker vagabundo” por hacer todos
sus ataques desde cibercafés. Logró penetrar redes como la de Microsoft y la
de The New York Times, hasta se anotó en su base de datos de expertos. Hoy
es periodista.
OWASP Pá gina 3
En el cuarto puesto está Steve Wozniak. Su carrera de hacker la hizo en los
'70, cuando engañaba los sistemas telefónicos para hacer llamadas gratis: se
dice que hasta llamó al Papa. Luego dejó el oficio para fundar Apple junto a su
amigo Steve Jobs.
En el puesto siete quedó Robert Tappan Morris, quien en 1988 liberó un virus
tipo gusano que infectó a seis mil aparatos Unix y causó pérdidas millonarias.
Morris fue el primer condenado por la ley de fraude computacional de los EEUU
y un disco duro que contiene el código de su virus se exhibe en el Museo de la
Ciencia de Boston.
Cierran la lista David L. Smith y Sven Jaschan. El primero fue a prisión por
crear el virus Melissa, el primero en transmitirse exitosamente por correo
electrónico y que provocó 80 millones de dólares en pérdidas en 1999.
OWASP Pá gina 4
OWASP TOP 10
Es un documento: 21 páginas
Gratuito
Evoluciona y se adapta
Security Misconfiguration
OWASP Pá gina 5
A1: INJECTION
Descripción:
Posibilita:
Recomendaciones:
OWASP Pá gina 6
No utilizar consultas dinámicas, sino parametrizadas.
Posibilita:
Recomendaciones
Validaciones de los datos de entrada: basadas en white-list para todos
los datos de entrada.
OWASP Pá gina 7
Deficiencias en la implementación de las funciones de autenticación de
usuarios.
Posibilita
Recomendaciones
OWASP Pá gina 8
Verificar el password anterior al solicitar un cambio de contraseña.
Recomendaciones
Utilizar referencias indirectas. Por jemplo:
http://www.example.com/application/file=1
OWASP Pá gina 9
Fuerza al navegador de la víctima (autenticada) a realizar una petición
HTTP, incluyendo la cookie de sesión u otra información que permite
autenticar al usuario.
Posibilita:
Recomendaciones:
Recomendaciones:
Uso de guías de securización.
OWASP Pá gina 11
Recomendaciones:
Disponer de una matriz de roles y funciones de la aplicación, como parte
del diseño de la aplicación.
La aplicación debe verificar el control de acceso en cada petición.
Llevar a cabo pentests (tests de intrusión) tras el despliegue de la
aplicación.
No basar la seguridad en la ofuscación.
Denegar el acceso a tipos de ficheros que la aplicación no debería
servir. Basar la validación en una white-list (por ejemplo: .html, .pdf, .jsp).
OWASP Pá gina 12
Recomendaciones:
Intentar evitar el uso de redirecciones.
No utilizar parámetros que puedan ser manipulados por el usuario como
parte de la URL, o verificar cada parámetro para verificar que es válido y
autorizado para el usuario.
Validar la URL después de haberla “calculado”.
Posibilita:
OWASP Pá gina 13
Recomendaciones:
Posibilita:
OWASP Pá gina 14
Recomendaciones
OWASP Pá gina 15
BIBLIOGRAFIA:
http://www.fistconference.org/files/owasp_top_10_2010fistvicente_aguile
ra_20100226.pdf
http://es.wikipedia.org/wiki/OWASP
http://www.taringa.net/posts/info/4755683/los-10-hackers-mas-
poderosos-del-mundo.html
OWASP Pá gina 16