Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OCTUBRE DE 2011
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
Edita:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los
mbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y
agresiones, y donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de
derecho, la prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y
de las administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la
vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico
Nacional en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el
Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la
seguridad de las TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas y
procedimientos de seguridad, y al empleo de tecnologas de seguridad adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir
normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologas de la informacin y las comunicaciones de la Administracin, materializada en la
existencia de la serie de documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso
de los medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de
junio, de acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el
Esquema Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad
fija los principios bsicos y requisitos mnimos as como las medidas de proteccin a implantar en los
sistemas de la Administracin, y promueve la elaboracin y difusin de guas de seguridad de las
tecnologas de la informacin y las comunicaciones por parte de CCN para facilitar un mejor
cumplimiento de dichos requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo
para que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de
proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.
Octubre de 2011
ii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
NDICE
INTRODUCCIN ........................................................................................................................ 4
OBJETO ....................................................................................................................................... 4
ALCANCE ................................................................................................................................... 5
SEGURIDAD DE ENTORNOS Y APLICACIONES WEB ....................................................... 5
4.1. RIESGOS Y AMENAZAS DE SEGURIDAD EN ENTORNOS WEB ............................. 5
4.2. INCIDENTES DE SEGURIDAD EN ENTORNOS WEB ................................................. 7
4.3. VULNERABILIDADES DE SEGURIDAD EN ENTORNOS WEB ................................ 8
4.4. ESTRATEGIA Y METODOLOGA DE SEGURIDAD DE APLICACIONES WEB ...... 9
4.5. ARQUITECTURAS DE SEGURIDAD EN ENTORNOS WEB ..................................... 12
4.6. DESARROLLO SEGURO DEL SOFTWARE DE APLICACIONES WEB ................... 15
4.6.1. RECOMENDACIONES GENERALES ..................................................................... 15
4.6.2. FILTRADO DE DATOS DE ENTRADA DEL USUARIO ...................................... 15
4.6.3. MENSAJES DE ERROR Y OTROS CONTENIDOS ............................................... 19
4.6.4. AUTENTIFICACIN Y GESTIN DE SESIONES ................................................. 20
4.6.5. CSRF ........................................................................................................................... 21
4.6.6. GESTIN DE LOGS .................................................................................................. 21
4.7. ANLISIS DE SEGURIDAD DE APLICACIONES WEB ............................................. 22
4.7.1. METODOLOGA DE ANALISIS DE CAJA NEGRA .............................................. 22
4.7.2. METODOLOGA DE ANALISIS DE CAJA BLANCA ........................................... 23
5. ESPECIFICACIN DE REQUISITOS DE AUDITORAS DE SEGURIDAD DE
ENTORNOS WEB ..................................................................................................................... 24
5.1. MBITO DE LA AUDITORA DE SEGURIDAD ......................................................... 26
5.2. RECONOCIMIENTO........................................................................................................ 26
5.2.1. INFORMACIN DE REGISTRO DE DOMINIOS (DNS) Y DIRECCIONES ....... 26
5.2.2. SERVICIOS DE BSQUEDAS EN INTERNET ...................................................... 27
5.2.3. UBICACIN EN LA RED ......................................................................................... 27
5.3. ESCANEO ......................................................................................................................... 27
5.3.1. SERVICIOS WEB ...................................................................................................... 28
5.3.2. CONTENIDOS WEB ................................................................................................. 28
5.4. ANLISIS DE VULNERABILIDADES .......................................................................... 29
5.4.1. VULNERABILIDADES DE APLICACIONES WEB............................................... 29
5.4.2. PRUEBAS DE CARGA Y DENEGACIN DE SERVICIO (DOS) ......................... 31
ANEXO A. REFERENCIAS PRINCIPALES ............................................................................ 33
ANEXO B. LISTA DE COMPROBACIN Y REQUISITOS .................................................. 34
ANEXO C. GLOSARIO DE TRMINOS Y ABREVIATURAS .............................................. 41
ANEXO D. REFERENCIAS ....................................................................................................... 43
1.
2.
3.
4.
FIGURAS
FIGURA 1.- ESTRATEGIA Y METODOLOGA DE SEGURIDAD DE APLICACIONES
WEB
..................................................................................................................................11
iii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
1. INTRODUCCIN
1.
2.
3.
2. OBJETO
4.
5.
6.
7.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
8.
3. ALCANCE
9.
Dar cumplimiento con lo establecido por el Real Decreto 3/2010, de 8 de enero, por
el que se regula el Esquema Nacional de Seguridad, y ms especficamente en lo
relativo a las medidas de proteccin mp.s.2, mp.s.8 y mp.s.9.
11. Las grandes amenazas de seguridad de las aplicaciones Web estn asociadas a las
siguientes caractersticas intrnsecas a este tipo de entornos:
Las aplicaciones Web estndar utilizan el puerto TCP/80 (HTTP) y las que
emplean cifrado mediante SSL (Secure Socker Layer) o TLS (Transport
Layer Security) emplean el puerto TCP/443 (HTTPS). Por tanto, los
firewalls tradicionales de manera general deben dejar pasar el trfico hacia
estos puertos, y son de poca utilidad en el filtrado de ataques directos sobre
la aplicacin Web.
HTTP es un protocolo complejo que permite recibir datos del usuario (en la
URL mediante el mtodo GET, en el cuerpo de la peticin mediante el
mtodo POST, mediante mtodos HTTP ms avanzados, a travs de
cookies, mediante cabeceras HTTP, etc) para su procesamiento.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
12. Adicionalmente a los diferentes elementos que forman parte de una arquitectura Web,
existen otros elementos que son potenciales objetivos para los atacantes, tales como el
trfico Web intercambiado entre clientes y servidores, y la posibilidad de realizar
ataques de denegacin de servicio (DoS), afectando la disponibilidad del entorno.
13. Las vulnerabilidades de seguridad ms comunes y relevantes en aplicaciones Web en
los ltimos aos son:
Inyeccin SQL
Path traversal
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
DE
SEGURIDAD
DE
Formacin en seguridad
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
Auditoras de seguridad
10
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
11
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
34. Desde el punto de vista de la seguridad, el modelo en tres capas en preferible ya que
ofrece separacin entre los distintos componentes y un mayor aislamiento frente a
incidentes de seguridad en cualquiera de los elementos.
35. Adicionalmente, la arquitectura de tres capas, aunque ms compleja, ofrece:
36. A la hora de disear una aplicacin Web es necesario tener en cuenta mltiples
factores: arquitectura, desarrollo de la aplicacin y mecanismos de auditora.
37. La arquitectura de la aplicacin Web debe disponer de mecanismos de deteccin y
proteccin a nivel de red, incluyendo elementos de seguridad tradicionales como
cortafuegos o sistemas de deteccin de intrusos.
38. Se recomienda seguir las pautas reflejadas en las siguientes guas CCN para este tipo
de elementos de seguridad perimetrales:
12
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
44. Algunos de los WAF ms conocidos en el mbito comercial son AppShield, InterDo,
SecureSphere, F5, DenyAll, SecureIIS, Microsoft ISA, Profense, etc
45. Entre los criterios de evaluacin de WAF ms comunes se encuentran:
13
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
47. HTTPS utiliza SSL (Secure Socket Layer) o TLS (Transport Layer Security) para
cifrar las comunicaciones entre el navegador Web y el servidor Web.
48. Se recomienda la utilizacin de SSL versin 3 (no las versiones previas del protocolo)
o el protocolo que lo sustituye, TLS versin 1.
49. Adicionalmente a los elementos de seguridad propios de un entorno Web, es
necesario proteger todos los elementos de la infraestructura en la que reside la
aplicacin Web, tales como dispositivos de comunicaciones (routers, switches, etc) o
la infraestructura de servidores de nombres (DNS).
50. Las mejores prcticas de seguridad para cada uno de los elementos que conforman el
entorno Web no pueden ser detalladas especficamente en la presente gua con el
objetivo de limitar su alcance. Es recomendable seguir las pautas reflejadas en las
siguientes guas CCN para reforzar la seguridad de todos estos elementos:
51. Los mecanismos de proteccin a implementar deben proteger los diferentes equipos
frente a:
52. Se debern aplicar los ltimos parches de seguridad en cada uno de los elementos
software que forman parte de la plataforma de la aplicacin Web: software de los
dispositivos de red y firewalls, sistema operativo de los servidores (Web, aplicacin,
y base de datos), y software de la plataforma de desarrollo empleada (PHP, ASP,
Java, etc).
53. Desde el punto de vista de la infraestructura Web, se debe disponer de una anlisis
detallado del usuario, grupo, permisos y derechos con los que ejecutarn cada uno de
los componentes de la aplicacin Web, como por ejemplo, los procesos del servidor
Web o de aplicacin. Este anlisis permitir aplicar todos los mecanismos de
autorizacin necesarios.
Centro Criptolgico Nacional
14
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
54. Adicionalmente, se debe disponer de un anlisis detallado de las credenciales con las
que unos componentes podrn acceder y obtener informacin de otros componentes.
Por ejemplo, cules son las credenciales y permisos de acceso del servidor de
aplicacin a la base de datos?
RECOMENDACIONES GENERALES
58. De forma general, se recomienda el uso del mtodo GET de HTTP slo para la
consulta de informacin, y el mtodo POST para el intercambio y envo de
informacin por parte de los clientes Web a la aplicacin Web.
59. Las cabeceras HTTP pueden ser manipuladas fcilmente por un atacante y no deben
emplearse como mtodo de validacin o de envo de informacin.
60. Todos los mecanismos de interaccin entre los distintos componentes del entorno
Web (servidor Web, de aplicacin y base de datos) deben realizarse de forma segura.
Las comunicaciones entre estos elementos debern estar cifradas, autentificadas y
asegurarse su integridad.
61. El almacenamiento de informacin sensible, tanto propia de la lgica de la aplicacin
como las credenciales de acceso, debe de almacenarse cifrada en todos los servidores,
y especialmente en el de base de datos.
4.6.2.
15
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
63. Algunos de los ataques Web mencionados, como por ejemplo XSS o inyeccin SQL,
pueden ser mitigados filtrando los datos maliciosos (cdigo HTML y scripts, o
sentencias SQL, respectivamente) en la entrada de la aplicacin, en la salida, o en
ambas. Se recomienda, aplicando criterios de defensa en profundidad, aplicar los
mecanismos de filtrado tanto en la entrada como en la salida.
64. Los datos de entrada proporcionados por el usuario (o atacante) deben ser
considerados dainos por naturaleza, por ello es necesaria su verificacin y anlisis
antes de ser procesados por la aplicacin.
65. Existen dos modelos para el filtrado de datos de entrada:
16
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
17
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
18
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
71. El filtrado de los datos de entrada del usuario se debera realizar tanto en el cliente
como en el servidor, de nuevo, aplicando criterios de defensa en profundidad. En caso
de ser necesario un nico nivel de validacin, por ejemplo por motivos de
rendimiento, este siempre se llevar a cabo en el servidor, ya que la validacin en el
cliente puede ser fcilmente manipulada por parte del atacante.
72. Dado que es posible representar los datos de entrada a las aplicaciones Web de
mltiples formas, como por ejemplo ASCII, codificacin de la URL en hexadecimal
(mediante el cdigo %XX del carcter a representar), en Unicode, etc, existen ataques
que pretenden evadir los filtros empleando diferentes tcnicas de codificacin. Por
ejemplo, la herramienta nikto implementa mltiples tcnicas de evasin de sistemas
de deteccin de intrusos en el trfico Web que genera.
73. Previo a la verificacin y filtrado de los datos de usuario, se recomienda realizar una
normalizacin de los mismos, en ese orden: primero se debe normalizar y
posteriormente filtrar. El objetivo de la normalizacin es convertir los datos en un
lenguaje comn, en concreto, el empleado por los filtros, independientemente de
cmo los haya codificado el usuario o atacante.
4.6.3.
74. El entorno Web debe considerar una gestin de errores adecuada, minimizando la
cantidad de informacin que se proporciona al usuario o atacante.
75. La informacin contenida en los errores puede ser empleada durante el
reconocimiento del entorno, y proporcionar informacin del software y las versiones
empleadas, informacin del sistema de ficheros y detalles de dnde se encuentran
ubicados los recursos empleados por la aplicacin Web. Adicionalmente puede
contener informacin ms detallada de la base de datos que puede ser empleada por
un atacante para ejecutar ataques de inyeccin de cdigo ms efectivos.
76. Es necesario en todo momento capturar las condiciones de error y mostrar mensajes
de error personalizados con la mnima cantidad de informacin posible. No se
recomienda mostrar directamente los mensajes de error detallados generados por el
servidor Web, el servidor de aplicaciones o la base de datos.
77. La gestin de errores debe aplicarse tanto en los accesos a contenidos estticos como
dinmicos, tras la ejecucin de cdigo y scripts.
78. Con el objetivo de minimizar la cantidad de informacin disponible a travs de la
aplicacin Web, se recomienda no disponer del cdigo fuente de la aplicacin en el
entorno de produccin, as como eliminar todos los recursos existentes por defecto en
el software empleado.
79. No debe existir ningn tipo de informacin confidencial en los datos proporcionados
al usuario, tal como campos ocultos en documentos HTML o claves de la aplicacin,
en los documentos enviados a los clientes Web. Si en algn caso es necesario enviar
algn campo sensible hacia el cliente Web, este campo debera estar cifrado, expirar
tras cierto tiempo y no ser reutilizable.
Centro Criptolgico Nacional
19
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
4.6.4.
20
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
4.6.5.
CSRF
87. Los ataques de CSRF slo pueden ser evitados mediante la implementacin de
elementos conocidos como tokens de formulario, o tokens anti-CSRF. La aplicacin
debe ser capaz de seguir la propia lgica de la aplicacin antes de realizar una accin
crtica. Es posible llevar a cabo este control mediante tokens dinmicos, creados por
cada sesin, usuario y formulario crtico, suficientemente aleatorios, y que deben
tener una fecha o tiempo de expiracin.
88. Otras soluciones como el sustentar la validez de las peticiones sobre la aplicacin en
el campo Referer (cabecera HTTP) no son vlidas ya que este campo puede ser
fcilmente modificado por el atacante.
89. Adicionalmente, es posible evitar este tipo de ataques y proporcionar ms control de
la aplicacin Web al usuario mediante la solicitud de verificacin para acciones
crticas. Una implementacin comn de esta verificacin es el uso de imgenes
CAPTCHA, dnde el usuario debe introducir el texto existente en una imagen, o la
utilizacin de autentificacin de dos factores mediante tarjetas de coordenadas o
dispositivos de claves de un solo uso.
4.6.6.
GESTIN DE LOGS
21
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
4.7.1.
Caja negra
Caja blanca
22
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
Enumeracin o escaneo
107. Para el estudio necesario en cada una de estas fases existen numerosas herramientas
que permiten analizar e identificar vulnerabilidades en aplicaciones Web de forma
automtica. Se recomienda la lectura de la siguiente gua CCN-STIC:
108. El anlisis mediante herramientas automticas debe ser complementado con anlisis
manuales (pruebas de intrusin), ya que dada la naturaleza y complejidad de las
aplicaciones Web, se estima que estas herramientas slo pueden encontrar entre un
20-60% de las vulnerabilidades existentes en la aplicacin.
4.7.2.
23
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
114. Dentro de las reas de revisin de cdigo se deber analizar el cdigo de la aplicacin
Web en busca de vulnerabilidades de:
Gestin de logs
Autentificacin
Autorizacin
Gestin de sesiones
24
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
117. Los resultados de la auditora deben ser reproducibles. Con este objetivo se
almacenar una captura de los resultados obtenidos tras la ejecucin de las diferentes
pruebas. El formato de los resultados depender del tipo de prueba, tal como pginas
Web obtenidas, capturas de trfico en formato PCAP, listas de URLs auditadas y
vulnerables, etc.
118. La informacin detallada contenida en el informe de resultados debe incluir las fechas
concretas en las que se llevaron a cabo las pruebas.
119. Es recomendable disponer en el informe de resultados de una lista detallada de las
vulnerabilidades y problemas de seguridad encontrados, clasificados por orden de
criticidad.
120. El tipo de anlisis de seguridad de un entorno Web planteado se centra en los
aspectos tcnicos y tecnolgicos de la aplicacin Web [Ref.- 18]. De forma
complementaria es necesario analizar la inclusin de pruebas de denegacin de
servicio y de ingeniera social.
121. El anlisis de seguridad debe identificar complementariamente alguno de los aspectos
asociados a la gestin del entorno e infraestructura Web, tales como:
25
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
Enumeracin o escaneo
128. Cada una de estas fases deben incluir informacin detallada sobre los elementos y
fuentes de datos relacionadas con el entorno o aplicacin Web objetivo de la auditora
de seguridad.
5.2. RECONOCIMIENTO
5.2.1.
26
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
UBICACIN EN LA RED
137. Informacin de la ubicacin en la red del entorno Web objetivo y trfico ICMP
permitido.
138. Identificacin de los sistemas de comunicaciones y dispositivos de red: routers,
balanceadores, etc.
139. Identificacin de los sistemas de proteccin de permetro (firewalls, IDS, etc).
5.3. ESCANEO
140. Es necesario obtener la mayor informacin posible sobre los servicios y recursos del
entorno Web objetivo, incluyendo tanto su ubicacin en la red como los detalles de
los elementos que lo conforman.
141. Enumeracin de los servicios disponibles en el entorno objetivo, obtenida mediante
escaneos de puertos (TCP y UDP) exhaustivos.
142. Informacin detallada de los servicios disponibles en el entorno objetivo, obtenida
mediante tcnicas de fingerprinting sobre cada servicio/puerto (TCP y UDP)
descubierto.
143. Identificacin de la plataforma y sistema operativo (OS fingerprinting) de los
servidores objetivo, al menos, servidor Web, servidor de aplicacin y base de datos.
27
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
SERVICIOS WEB
CONTENIDOS WEB
28
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
Inyeccin SQL
CSRF
Desbordamiento de buffers
164. Como resultado de estas operaciones y comprobaciones se obtendr una lista de los
parmetros chequeados y sus resultados.
29
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
30
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
Escalada de privilegios
168. En todos aquellos entornos Web dnde existe el concepto de usuarios autentificados,
se recomienda la realizacin de los anlisis de seguridad desde dos vertientes:
5.4.2.
172. Las pruebas de DDoS requieren disponer de elevados recursos para su consecucin,
por lo que no siempre es posible su realizacin.
31
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
173. Adicionalmente, los ataques de DoS pueden incluir otro tipo de pruebas relacionadas:
Existencia de errores no
desbordamiento de buffers
recuperables
en
la
aplicacin,
como
32
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
33
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
MEDIA
ALTA
COMPROBACIN
2.
3.
X
X
X
4.
5.
6.
7.
X
X
9.
10.
11.
34
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
13.
14.
15.
16.
17.
18.
19.
20.
35
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
22.
23.
24.
25.
26.
27.
28.
29.
30.
36
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
32.
33.
34.
35.
36.
37.
38.
39.
X
37
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
41.
42.
43.
44.
45.
46.
47.
48.
y
la
de
de
38
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
propietarias, etc.
49.
50.
51.
52.
53.
54.
55.
39
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
negra o ambas.
57.
58.
59.
60.
61.
63.
65.
X
X
62.
64.
X
X
FORMACIN Y CONCIENCIACIN
66.
67.
40
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
AJAX
ASP
BD
Base de datos
CA
Certification Authority
CAPTCHA
CCN
CCN-CERT
CLASP
CMS
CR
Carriage Return
CSRF
DDoS
DNS
DoS
Denial of Service
FAQ
HTML
HTTP
HTTPS
IDS
IIS
J2EE
JSP
LAMP
41
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
LDAP
LF
Line Feed
OWASP
PCAP
Packet Capture
PHPBB
RFI
SDLC
SQL
SSL
SSO
Single Sign On
STIC
TIC
TLS
URI
URL
VNC
VoIP
Voz sobre IP
WAF
WASC
WASS
Webmail
WHID
XML
XSS
Cross-Site Scripting
42
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
ANEXO D. REFERENCIAS
[Ref.- 1]
CCN-CERT
URL: https://www.ccn-cert.cni.es
[Ref.- 2]
[Ref.- 3]
Artculos Known Your Enemy (KYE) relacionados con entornos Web. Honeynet Project:
- Web Application Threats
URL: http://www.honeynet.org/papers/webapp/
- Malicious Web Servers
URL: http://www.honeynet.org/papers/mws/
- Behind the Scenes of Malicious Web Servers
URL: http://www.honeynet.org/papers/wek/
[Ref.- 4]
[Ref.- 5]
[Ref.- 6]
[Ref.- 7]
[Ref.- 8]
[Ref.- 9]
[Ref.- 10]
[Ref.- 11]
[Ref.- 12]
[Ref.- 13]
[Ref.- 14]
XSSed.com
URL: http://xssed.com
[Ref.- 15]
mod_security
URL: http://www.modsecurity.org
[Ref.- 16]
43
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-812 v1.0
[Ref.- 17]
[Ref.- 18]
44
SIN CLASIFICAR