Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OWASP Top 10 - 2013 Final - Español PDF
OWASP Top 10 - 2013 Final - Español PDF
OWASP Top 10 - 2013 Final - Español PDF
Acerca de OWASP
Bienvenidos
Bienvenidos
al
OWASP
Top
10
2013!
Esta
actualizacin
profundiza
sobre
una
de
las
categoras
de
la
versin
2010,
a
n
de
ser
ms
inclusivo,
sobre
importantes
vulnerabilidades
comunes,
y
reordena
algunos
de
los
dems
basndose
en
el
cambio
de
los
datos
de
prevalencia.
Tambin
presenta
un
componente
de
seguridad
como
centro
de
atencin,
mediante
la
creacin
de
una
categora
especca
para
este
riesgo,
sacndolo
de
la
oscuridad
de
la
letra
pequea
del
Top
Ten
2010;
A6:
La
conguracin
de
seguridad
incorrecta.
El
OWASP
Top
10
2013,
se
basa
en
8
conjuntos
de
datos
de
7
rmas
especializadas
en
seguridad
de
aplicaciones,
incluyendo
4
empresas
consultoras
y
3
proveedores
de
herramientas
/SaaS
(1
est=co,
dinmico
1,
y
1
con
ambos).
Estos
datos
abarcan
ms
de
500.000
vulnerabilidades
a
travs
de
cientos
de
organizaciones
y
miles
de
aplicaciones.
Las
vulnerabilidades
del
Top
10
son
seleccionadas
y
priorizadas
de
acuerdo
a
estos
datos
de
prevalencia,
en
combinacin
con
es=maciones
consensuadas
de
explotabilidad,
detectabilidad
e
impacto.
El
obje=vo
principal
del
Top
10
es
educar
a
los
desarrolladores,
diseadores,
arquitectos,
gerentes,
y
organizaciones
;
sobre
las
consecuencias
de
las
vulnerabilidades
de
seguridad
ms
importantes
en
aplicaciones
web.
El
Top
10
provee
tcnicas
bsicas
sobre
como
protegerse
en
estas
reas
de
alto
riesgo
y
tambin
provee
orientacin
sobre
los
pasos
a
seguir.
Advertencias
Agradecimientos
No
se
detenga
en
el
Top
10.
Existen
cientos
de
problemas
que
Gracias
a
Aspect
Security
por
iniciar,
liderar,
y
actualizar
el
OWASP
pueden
afectar
la
seguridad
en
general
de
una
aplicacin
web
,
tal
Top
10,
desde
sus
inicios
en
2003,
y
a
sus
autores
primarios:
Je
como
se
ha
discu=do
en
la
Gua
de
Desarrollo
OWASP
y
Williams
y
Dave
Wichers.
OWASP
Cheat
Sheet.
Este
documento
es
de
lectura
esencial
para
cualquiera
que
desarrolle
aplicaciones
web
hoy
en
da.
Una
efec=va
orientacin
en
como
encontrar
vulnerabilidades
en
aplicaciones
web
es
suministrada
en
las
Gua
de
Pruebas
OWASP
y
la
Gua
de
Revisin
de
Cdigo
OWASP.
Nos
gustara
agradecer
a
las
siguientes
organizaciones
que
contribuyeron
con
datos
predominantes
de
vulnerabilidades
para
Cambio
constante.
Este
Top
10
con=nuar
cambiando.
Incluso
sin
actualizar
el
Top
Ten.
cambiar
una
sola
lnea
de
cdigo
en
la
aplicacin,
es
posible
llegar
a
ser
vulnerable,
ya
que
al
descubrirse
nuevos
defectos,
los
ataques
Aspect
Security
Sta=s=cs
son
renados.
Por
favor,
revise
los
consejos
al
nal
del
Top
10
HP
Sta=s=cs
tanto
de
For=fy
como
de
WebInspect
Prximos
pasos
para
Desarrolladores,
Vericadores
y
Minded
Security
Sta=s=cs
Organizaciones
para
mayor
informacin.
SoNtek
Sta=s=cs
Trustwave,
SpiderLabs
Sta=s=cs
(Ver
pg.
50)
Piense
posiCvamente.
Cuando
se
encuentre
preparado
para
dejar
Veracode
Sta=s=cs
de
buscar
vulnerabilidades
y
focalizarse
en
establecer
controles
WhiteHat
Security
Inc.
Sta=s=cs
seguros
de
aplicaciones,
OWASP
ha
producido
el
Applica=on
Security
Verica=on
Standard
(ASVS)
como
una
gua
Nos
gustara
dar
las
gracias
a
todos
los
que
contribuyeron
con
las
para
organizaciones
y
revisores
de
aplicaciones
que
detalla
los
versiones
anteriores
del
Top
10.
Sin
estas
aportaciones,
no
sera
lo
controles
de
seguridad
a
vericar
en
una
aplicacin.
que
es
hoy.
Tambin
nos
gustara
dar
las
gracias
a
aquellos
que
han
aportado
comentarios
construc=vos
y
a
los
que
dedicaron
=empo
de
UClice
herramientas
inteligentemente.
Las
vulnerabilidades
de
revisin
de
esta
actualizacin
del
Top
10:
seguridad
pueden
ser
bastante
complejas
y
encontrarse
ocultas
en
montaas
de
cdigo.
En
muchos
casos,
el
enfoque
mas
eciente
y
Adam
Baso
(Wikimedia
Founda=on)
econmico
para
encontrar
y
eliminar
dichas
vulnerabilidades
es
la
Mike
Boberski
(Booz
Allen
Hamilton)
combinacin
de
expertos
armados
con
buenas
herramientas
para
Torsten
Gigler
realizar
esta
tarea.
Neil
Smithline
(MorphoTrust
USA)
Por
producir
la
wiki
de
esta
versin
del
Top
10
y
proporcionar
informacin.
Push
leF.
Enfocarse
en
hacer
que
la
seguridad
sea
parte
de
la
cultura
organizacional
a
travs
de
todo
el
ciclo
de
desarrollo.
Puede
Y,
por
l=mo,
nos
gustara
de
antemano
dar
las
gracias
a
todos
los
encontrar
ms
informacin
en
traductores
por
traducir
esta
versin
del
Top
10
en
varios
idiomas,
lo
Open
SoNware
Assurance
Maturity
Model
(SAMM)
y
que
ayuda
a
hacer
que
el
OWASP
Top
10
sea
accesible
al
planeta
Rugged
Handbook.
entero.
RN
Notas
sobre
la
versin
A2 Secuencia de Comandos en SiCos Cruzados (XSS) A3 Secuencia de Comandos en SiCos Cruzados (XSS)
A8 Falla de Restriccin de Acceso a URL Ampliada en A7 Ausencia de Control de Acceso a las Funciones
A5 Falsicacin de PeCciones en SiCos Cruzados (CSRF) A8 Falsicacin de PeCciones en SiCos Cruzados (CSRF)
<dentro de A6: Defectuosa Conguracin de Seguridad> A9 Uso de Componentes con Vulnerabilidades Conocidas
A2
Prdida
de
AutenCcacin
y
Las
funciones
de
la
aplicacin
relacionadas
a
auten=cacin
y
ges=n
de
sesiones
son
frecuentemente
implementadas
incorrectamente,
permi=endo
a
los
atacantes
comprometer
contraseas,
claves,
token
de
GesCn
de
sesiones,
o
explotar
otras
fallas
de
implementacin
para
asumir
la
iden=dad
de
otros
usuarios.
Sesiones
A3
Secuencia
de
Las
fallas
XSS
ocurren
cada
vez
que
una
aplicacin
toma
datos
no
conables
y
los
enva
al
navegador
web
sin
una
validacin
y
codicacin
apropiada.
XSS
permite
a
los
atacantes
ejecutar
secuencia
de
comandos
en
el
Comandos
en
SiCos
navegador
de
la
vic=ma
los
cuales
pueden
secuestrar
las
sesiones
de
usuario,
destruir
si=os
web,
o
dirigir
al
Cruzados
(XSS)
usuario
hacia
un
si=o
malicioso.
A4
Referencia
Una
referencia
directa
a
objetos
ocurre
cuando
un
desarrollador
expone
una
referencia
a
un
objeto
de
implementacin
interno,
tal
como
un
chero,
directorio,
o
base
de
datos.
Sin
un
chequeo
de
control
de
Directa
Insegura
a
acceso
u
otra
proteccin,
los
atacantes
pueden
manipular
estas
referencias
para
acceder
datos
no
Objetos
autorizados.
Una
buena
seguridad
requiere
tener
denida
e
implementada
una
conguracin
segura
para
la
aplicacin,
A5
Conguracin
marcos
de
trabajo,
servidor
de
aplicacin,
servidor
web,
base
de
datos,
y
plataforma.
Todas
estas
de
Seguridad
conguraciones
deben
ser
denidas,
implementadas,
y
mantenidas
ya
que
por
lo
general
no
son
seguras
Incorrecta
por
defecto.
Esto
incluye
mantener
todo
el
soNware
actualizado,
incluidas
las
libreras
de
cdigo
u=lizadas
por
la
aplicacin.
Muchas
aplicaciones
web
no
protegen
adecuadamente
datos
sensibles
tales
como
nmeros
de
tarjetas
de
A6
Exposicin
crdito
o
credenciales
de
auten=cacin.
Los
atacantes
pueden
robar
o
modicar
tales
datos
para
llevar
a
cabo
fraudes,
robos
de
iden=dad
u
otros
delitos.
Los
datos
sensibles
requieren
de
mtodos
de
proteccin
de
datos
sensibles
adicionales
tales
como
el
cifrado
de
datos,
as
como
tambin
de
precauciones
especiales
en
un
intercambio
de
datos
con
el
navegador.
A7
Ausencia
de
La
mayora
de
aplicaciones
web
verican
los
derechos
de
acceso
a
nivel
de
funcin
antes
de
hacer
visible
en
la
misma
interfaz
de
usuario.
A
pesar
de
esto,
las
aplicaciones
necesitan
vericar
el
control
de
acceso
en
el
Control
de
Acceso
a
servidor
cuando
se
accede
a
cada
funcin.
Si
las
solicitudes
de
acceso
no
se
verican,
los
atacantes
podrn
Funciones
realizar
pe=ciones
sin
la
autorizacin
apropiada.
A8
-
Falsicacin
de
Un
ataque
CSRF
obliga
al
navegador
de
una
vic=ma
auten=cada
a
enviar
una
pe=cin
HTTP
falsicado,
incluyendo
la
sesin
del
usuario
y
cualquier
otra
informacin
de
auten=cacin
incluida
autom=camente,
a
PeCciones
en
SiCos
Cruzados
(CSRF)
una
aplicacin
web
vulnerable.
Esto
permite
al
atacante
forzar
al
navegador
de
la
vic=ma
para
generar
pedidos
que
la
aplicacin
vulnerable
piensa
son
pe=ciones
leg=mas
provenientes
de
la
vic=ma.
A9
UClizacin
de
Algunos
componentes
tales
como
las
libreras,
los
frameworks
y
otros
mdulos
de
soNware
casi
siempre
componentes
con
funcionan
con
todos
los
privilegios.
Si
se
ataca
un
componente
vulnerable
esto
podra
facilitar
la
intrusin
en
el
servidor
o
una
perdida
seria
de
datos.
Las
aplicaciones
que
u=licen
componentes
con
vulnerabilidades
vulnerabilidades
conocidas
debilitan
las
defensas
de
la
aplicacin
y
permiten
ampliar
el
rango
de
posibles
ataques
e
conocidas
impactos.
A10
Las
aplicaciones
web
frecuentemente
redirigen
y
reenvan
a
los
usuarios
hacia
otras
pginas
o
si=os
web,
y
Redirecciones
y
u=lizan
datos
no
conables
para
determinar
la
pgina
de
des=no.
Sin
una
validacin
apropiada,
los
reenvios
no
atacantes
pueden
redirigir
a
las
vc=mas
hacia
si=os
de
phishing
o
malware,
o
u=lizar
reenvos
para
acceder
validados
pginas
no
autorizadas.
A1
Inyeccin
Vectores
Debilidades
Impactos
Impactos
de
Ataque
de
Seguridad
Tcnicos
al
negocio
Agentes
de
Amenaza
Especco
de
la
Explotabilidad
Prevalencia
Deteccin
Impacto
Especco
de
la
Aplicacin
FCIL
COMN
PROMEDIO
SEVERO
aplicacin/negocio
Considere
a
cualquiera
El
atacante
enva
ataques
Las
fallas
de
inyeccin
ocurren
cuando
una
Una
inyeccin
puede
Considere
el
valor
de
que
pueda
enviar
con
cadenas
simples
de
aplicacin
enva
informacin
no
conable
a
un
causar
prdida
o
negocio
de
los
datos
informacin
no
conable
texto,
los
cuales
explotan
interprete.
Estas
fallas
son
muy
comunes,
corrupcin
de
datos,
afectados
y
la
plataforma
al
sistema,
incluyendo
la
sintaxis
del
interprete
a
par=cularmente
en
el
cdigo
an=guo.
Se
prdida
de
sobre
la
que
corre
el
usuarios
externos,
vulnerar.
Casi
cualquier
encuentran,
frecuentemente,
en
las
consultas
SQL,
responsabilidad,
o
intrprete.
Todos
los
usuarios
internos
y
fuente
de
datos
puede
ser
LDAP,
Xpath
o
NoSQL;
los
comandos
de
SO,
negacin
de
acceso.
datos
pueden
ser
administradores.
un
vector
de
inyeccin,
intrpretes
de
XML,
encabezados
de
SMTP,
Algunas
veces,
una
robados,
modicados
o
incluyendo
las
fuentes
argumentos
de
programas,
etc.
Estas
fallas
son
inyeccin
puede
llevar
a
eliminados.
Podra
ser
internas.
fciles
de
descubrir
al
examinar
el
cdigo,
pero
el
compromiso
total
de
el
daada
su
reputacin?
di|ciles
de
descubrir
por
medio
de
pruebas.
Los
servidor.
analizadores
y
fuzzers
pueden
ayudar
a
los
atacantes
a
encontrar
fallas
de
inyeccin.
El
anlisis
dinmico
automa=zado,
el
cual
ejercita
la
aplicacin
3. La
validacin
de
entradas
posi=va
o
de
"lista
blanca"
tambin
se
puede
proveer
una
idea
de
si
existe
alguna
inyeccin
explotable.
Los
recomienda,
pero
no
es
una
defensa
integral
dado
que
muchas
analizadores
automa=zados
no
siempre
pueden
alcanzar
a
los
aplicaciones
requieren
caracteres
especiales
en
sus
entradas.
Si
intrpretes
y
se
les
diculta
detectar
si
el
ataque
fue
exitoso.
Un
se
requieren
caracteres
especiales,
solo
las
soluciones
anteriores
manejo
pobre
de
errores
hace
a
las
inyecciones
fciles
de
descubrir.
1.
y
2.
haran
su
uso
seguro.
La
ESAPI
de
OWASP
=ene
una
librera
extensible
de
ru=nas
de
validacin
posi=va.
Escenario
#2:
De
manera
similar,
si
una
aplicacin
con|a
ciegamente
OWASP
Command
Injec=on
Ar=cle
en
el
framework
puede
resultar
en
consultas
que
an
son
OWASP
XML
eXternal
En=ty
(XXE)
Reference
Ar=cle
vulnerables,
(ej.,
Hibernate
Query
Language
(HQL)):
ASVS:
Output
Encoding/Escaping
Requirements
(V6)
Query
HQLQuery
=
session.createQuery(FROM
accounts
OWASP
Tes=ng
Guide:
Chapter
on
SQL
Injec=on
Tes=ng
WHERE
custID='
+
request.getParameter("id")
+
"'");
Externas
En
ambos
casos,
al
atacante
modicar
el
parmetro
id
en
su
navegador
para
enviar:
'
or
'1'='1.
Por
ejemplo:
CWE
Entry
77
on
Command
Injec=on
hvp://example.com/app/accountView?id='
or
'1'='1
CWE
Entry
89
on
SQL
Injec=on
Esto
cambia
el
signicado
de
ambas
consultas
regresando
todos
los
CWE
Entry
564
on
Hibernate
Injec=on
registros
de
la
tabla
accounts.
Ataques
ms
peligrosos
pueden
modicar
datos
o
incluso
invocar
procedimientos
almacenados.
Prdida
de
AutenCcacin
y
A2
GesCn
de
Sesiones
Vectores
Debilidades
Impactos
Impactos
de
Ataque
de
Seguridad
Tcnicos
al
negocio
Agentes
de
Amenaza
Especco
de
la
Explotabilidad
Prevalencia
Deteccin
Impacto
Especco
de
la
Aplicacin
PROMEDIO
DIFUNDIDO
PROMEDIO
SEVERO
aplicacin/negocio
Considere
atacantes
El
atacante
u=liza
Los
desarrolladores
a
menudo
crean
esquemas
Estas
vulnerabilidades
Considere
el
valor
de
annimos
externos,
as
ltraciones
o
propios
de
auten=cacin
o
ges=n
de
las
sesiones,
pueden
permi=r
que
negocio
de
los
datos
como
a
usuarios
con
sus
vulnerabilidades
en
las
pero
construirlos
en
forma
correcta
es
di|cil.
Por
algunas
o
todas
las
afectados
o
las
funciones
propias
cuentas,
que
funciones
de
auten=cacin
ello,
a
menudo
estos
esquemas
propios
con=enen
cuentas
sean
atacadas.
de
la
aplicacin
podran
intentar
robar
o
ges=n
de
las
sesiones
vulnerabilidades
en
el
cierre
de
sesin,
ges=n
de
Una
vez
que
el
ataque
expuestas.
cuentas
de
otros.
(ej.
cuentas
expuestas,
contraseas,
=empo
de
desconexin
(expiracin),
resulte
exitoso,
el
Considere
tambin
a
contraseas,
funcin
de
recordar
contrasea,
pregunta
secreta,
atacante
podra
realizar
Tambin
considere
el
impacto
en
el
negocio
de
trabajadores
que
quieran
iden=cadores
de
sesin)
actualizacin
de
cuenta,
etc.
Encontrar
estas
cualquier
accin
que
la
la
exposicin
pblica
de
enmascarar
sus
acciones.
para
suplantar
otros
vulnerabilidades
puede
ser
di|cil
ya
que
cada
vc=ma
pudiese.
Las
usuarios.
implementacin
es
nica.
cuentas
privilegiadas
son
la
vulnerabilidad.
obje=vos
prioritarios.
Un
usuario
auten=cado
en
el
si=o
quiere
mostrar
la
oferta
a
sus
OWASP
Authen=ca=on
Cheat
Sheet
amigos.
Enva
por
correo
electrnico
el
enlace
anterior,
sin
ser
OWASP
Forgot
Password
Cheat
Sheet
consciente
de
que
est
proporcionando
su
ID
de
sesin.
Cuando
sus
amigos
u=licen
el
enlace
u=lizarn
su
sesin
y
su
tarjeta
de
crdito.
OWASP
Session
Management
Cheat
Sheet
Escenario
#2:
No
se
establecen
correctamente
los
=empos
de
OWASP
Development
Guide:
Chapter
on
Authen=ca=on
expiracin
de
la
sesin
en
la
aplicacin.
Un
usuario
u=liza
un
ordenador
pblico
para
acceder
al
si=o.
En
lugar
de
cerrar
la
sesin,
OWASP
Tes=ng
Guide:
Chapter
on
Authen=ca=on
cierra
la
pestaa
del
navegador
y
se
marcha.
Un
atacante
u=liza
el
Externas
mismo
navegador
al
cabo
de
una
hora,
y
ese
navegador
todava
se
encuentra
auten=cado.
CWE
Entry
287
on
Improper
Authen=ca=on
Escenario
#3:
Un
atacante
interno
o
externo
a
la
organizacin,
CWE
Entry
384
on
Session
Fixa=on
consigue
acceder
a
la
base
de
datos
de
contraseas
del
sistema.
Las
contraseas
de
los
usuarios
no
se
encuentran
cifradas,
exponiendo
Secuencia
de
Comandos
en
SiCos
A3
Cruzados
(XSS)
Vectores
Debilidades
Impactos
Impactos
de
Ataque
de
Seguridad
Tcnicos
al
negocio
Agentes
de
Amenaza
Especco
de
la
Explotabilidad
Prevalencia
Deteccin
Impacto
Especco
de
la
Aplicacin
PROMEDIO
MUY
DIFUNDIDA
FACIL
MODERADO
aplicacin
/
negocio
Considere
cualquier
El
atacante
enva
cadenas
XSS
es
la
falla
de
seguridad
predominante
en
El
atacante
puede
Considere
el
valor
para
el
persona
que
pueda
de
texto
que
son
aplicaciones
web.
Ocurren
cuando
una
aplicacin,
ejecutar
secuencias
de
negocio
del
sistema
enviar
datos
no
secuencias
de
comandos
en
una
pgina
enviada
a
un
navegador
incluye
comandos
en
el
afectado
y
de
los
datos
conables
al
sistema,
de
ataque
que
explotan
el
datos
suministrados
por
un
usuario
sin
ser
navegador
de
la
vc=ma
que
ste
procesa.
incluyendo
usuarios
intrprete
del
navegador.
validados
o
codicados
apropiadamente.
Existen
para
secuestrar
las
Tambin
considere
el
externos,
internos
y
Casi
cualquier
fuente
de
tres
=pos
de
fallas
conocidas
XSS:
1)
Almacenadas,
sesiones
de
usuario,
administradores.
datos
puede
ser
un
vector
2)
Reejadas,
y
3)
basadas
en
DOM
.
alterar
la
apariencia
del
impacto
en
el
negocio
la
exposicin
pblica
de
la
de
ataque,
incluyendo
si=o
web,
insertar
cdigo
fuentes
internas
tales
La
mayora
de
las
fallas
XSS
son
detectadas
de
hos=l,
redirigir
usuarios,
vulnerabilidad.
forma
rela=vamente
fcil
a
travs
de
pruebas
o
por
secuestrar
el
navegador
como
datos
de
la
base
de
datos.
medio
del
anlisis
del
cdigo.
de
la
vc=ma
u=lizando
malware,
etc.
Considere
los
=pos
de
Un
atacante,
como
usuario
Normalmente,
las
aplicaciones
u=lizan
el
nombre
o
Dichas
vulnerabilidades
Considere
el
valor
de
usuarios
en
su
sistema.
autorizado
en
el
sistema,
clave
actual
de
un
objeto
cuando
se
generan
las
pueden
comprometer
negocio
de
los
datos
Existen
usuarios
que
simplemente
modica
el
pginas
web.
Las
aplicaciones
no
siempre
verican
toda
la
informacin
que
afectados
o
las
funciones
tengan
nicamente
valor
de
un
parmetro
que
que
el
usuario
=ene
autorizacin
sobre
el
obje=vo.
pueda
ser
referida
por
de
la
aplicacin
acceso
parcial
a
se
reere
directamente
a
Esto
resulta
en
una
vulnerabilidad
de
referencia
de
parmetros.
A
menos
expuestas.
determinados
=pos
de
un
objeto
del
sistema
por
objetos
directos
inseguros.
Los
auditores
pueden
que
el
espacio
de
Tambin
considere
el
datos
del
sistema?
otro
objeto
para
el
que
el
manipular
fcilmente
los
valores
del
parmetro
nombres
resulte
escaso,
impacto
en
el
negocio
de
usuario
no
se
encuentra
para
detectar
estas
vulnerabilidades.
Un
anlisis
de
para
un
atacante
resulta
la
exposicin
pblica
de
autorizado.
Se
concede
el
cdigo
muestra
rpidamente
si
la
autorizacin
se
sencillo
acceder
a
todos
la
vulnerabilidad.
acceso?
verica
correctamente.
los
datos
disponibles
de
ese
=po.
Considere
atacantes
Un
atacante
accede
a
Las
conguraciones
de
seguridad
incorrectas
Estas
vulnerabilidades
El
sistema
podra
ser
annimos
externos
as
cuentas
por
defecto,
pueden
ocurrir
a
cualquier
nivel
de
la
aplicacin,
frecuentemente
dan
a
completamente
como
usuarios
con
sus
pginas
sin
uso,
fallas
sin
incluyendo
la
plataforma,
servidor
web,
servidor
los
atacantes
acceso
no
comprome=do
sin
su
propias
cuentas
que
parchear,
archivos
y
de
aplicacin,
base
de
datos,
framework,
y
cdigo
autorizado
a
algunas
conocimiento.
Todos
sus
pueden
intentar
directorios
sin
proteccin,
personalizado.
Los
desarrolladores
y
funcionalidades
o
datos
datos
podran
ser
comprometer
el
sistema.
etc.
para
obtener
acceso
administradores
de
sistema
necesitan
trabajar
del
sistema.
robados
o
modicados
Tambin
considere
no
autorizado
o
juntos
para
asegurar
que
las
dis=ntas
capas
estn
Ocasionalmente
lentamente
en
el
=empo.
personal
interno
conocimiento
del
sistema.
conguradas
apropiadamente.
Las
herramientas
provocan
que
el
sistema
buscando
enmascarar
de
detaccin
automa=zadas
son
=les
para
se
comprometa
Los
costes
de
recuperacin
podran
ser
sus
acciones.
detectar
parches
omi=dos,
fallos
de
conguracin,
totalmente.
uso
de
cuentas
por
defecto,
servicios
innecesarios,
altos.
etc.
Considere
quin
puede
Los
atacantes
picamente
La
debilidad
ms
comn
es
simplemente
no
cifrar
Los
fallos
Considere
el
valor
de
obtener
acceso
a
sus
no
quiebran
la
criptogra|a
datos
sensibles.
Cuando
se
emplea
cifrado,
es
frecuentemente
negocio
de
la
prdida
de
datos
sensibles
y
de
forma
directa,
sino
algo
comn
detectar
generacin
y
ges=n
dbiles
de
comprometen
todos
los
datos
y
el
impacto
a
su
cualquier
respaldo
de
ms
como
robar
claves,
claves,
el
uso
de
algoritmos
dbiles,
y
datos
que
deberan
estar
reputacin.
Cul
su
stos.
Esto
incluye
los
realizar
ataques
man
in
par=cularmente
tcnicas
dbiles
de
hashing
de
protegidos.
Tpicamente,
responsabilidad
legal
si
datos
almacenados,
en
the
middle,
robar
datos
contraseas.
Las
debilidades
a
nivel
del
navegador
esta
informacin
incluye
estos
datos
son
trnsito,
e
inclusive
en
el
en
texto
claro
del
servidor,
son
muy
comunes
y
fciles
de
detectar,
pero
datos
sensibles
como
ser
expuestos?
Tambin
navegador
del
cliente.
mientras
se
encuentran
en
di|ciles
de
explotar
a
gran
escala.
Atacantes
registros
mdicos,
considere
el
dao
a
la
Incluye
tanto
amenazas
trnsito,
o
del
navegador
externos
encuentran
dicultades
detectando
credenciales,
datos
reputacin.
internas
y
externas.
del
usuario.
debilidades
en
a
nivel
de
servidor
dado
el
acceso
personales,
tarjetas
de
limitado
y
que
son
usualmente
di|ciles
de
explotar.
crdito,
etc.
Cualquiera
con
acceso
a
El
atacante,
que
es
un
Las
aplicaciones
no
siempre
protegen
las
Estas
vulnerabilidades
Considere
el
valor
para
la
red
puede
enviar
una
funcionalidades
adecuadamente.
En
ocasiones
la
permiten
el
acceso
no
su
negocio
de
las
usuario
leg=mo
en
el
proteccin
a
nivel
de
funcionalidad
se
administra
pe=cin
a
su
aplicacin.
autorizado
de
los
funciones
expuestas
y
los
sistema,
simplemente
por
medio
de
una
conguracin,
y
el
sistema
est
datos
que
stas
Un
usuario
annimo
mal
congurado.
Otras
veces
los
programadores
atacantes
a
funciones
del
cambia
la
URL
o
un
deben
incluir
un
adecuado
chequeo
por
cdigo,
y
procesan.
Adems,
podra
acceder
a
una
sistema.
parmetro
a
una
funcin
se
olvidan.
considere
el
impacto
a
su
funcionalidad
privada
o
reputacin
si
esta
con
privilegios.
Se
le
La
deteccin
de
este
=po
de
vulnerailidad
es
Las
funciones
un
usuario
normal
sencillo.
La
parte
ms
compleja
es
iden=car
qu
vulnerabilidad
se
hiciera
administra=vas
son
un
acceder
a
una
funcin
concede
acceso?
Usuarios
pginas
(URLs)
o
funcionalidades
atacables
existen.
pblica.
obje=vo
clave
de
este
que
requiere
privilegios?
annimos
podran
acceder
=po
de
ataques.
a
funcionalidades
privadas
que
no
estn
protegidas.
Soy
vulnerable?
Cmo
prevenirlo?
La
mejor
manera
de
determinar
si
una
aplicacin
falla
en
restringir
La
aplicacin
debera
tener
un
mdulo
de
autorizacin
consistente
y
adecuadamente
el
acceso
a
nivel
de
funcionalidades
es
vericar
fcil
de
analizar,
invocado
desde
todas
las
funciones
de
negocio.
cada
funcionalidad
de
la
aplicacin:
Frecuentemente,
esa
proteccin
es
provista
por
uno
o
ms
1. La
interfaz
de
usuario
(UI)
muestra
la
navegacin
hacia
componentes
externos
al
cdigo
de
la
aplicacin.
funcionalidades
no
autorizadas?
1. El
proceso
para
ges=n
de
accesos
y
permisos
debera
ser
2. Existe
auten=cacin
del
lado
del
servidor,
o
se
han
perdido
las
actualizable
y
auditable
fcilmente.
No
lo
implemente
comprobaciones
de
autorizacin?
directamente
en
el
cdigo
sin
u=lizar
parametrizaciones.
3. Los
controles
del
lado
del
servidor
se
basan
exclusivamente
en
la
informacin
proporcionada
por
el
atacante?
2. La
implementacin
del
mecanismo
debera
negar
todo
acceso
por
defecto,
requiriendo
el
establecimiento
explcito
de
Usando
un
proxy,
navegue
su
aplicacin
con
un
rol
privilegiado.
permisos
a
roles
especcos
para
acceder
a
cada
funcionalidad.
Luego
visite
reiteradamente
pginas
restringidas
usando
un
rol
con
menos
privilegios.
Si
el
servidor
responde
a
ambos
por
igual,
3. Si
la
funcionalidad
forma
parte
de
un
workow,
verique
y
probablemente
es
vulnerable.
Algunas
pruebas
de
proxies
apoyan
asegese
que
las
condiciones
del
ujo
se
encuentren
en
el
directamente
este
=po
de
anlisis.
estado
apropiado
para
permi=r
el
acceso.
Tambin
puede
revisar
la
implementacin
del
control
de
acceso
en
NOTA:
La
mayora
de
las
aplicaciones
web
no
despliegan
links
o
el
cdigo.
Intente
seguir
una
solicitud
unitaria
y
con
privilegios
a
botones
para
funciones
no
autorizadas,
pero
en
la
prc=ca
el
travs
del
cdigo
y
verique
el
patrn
de
autorizacin.
Luego
busque
control
de
acceso
de
la
capa
de
presentacin
no
provee
en
el
cdigo
para
detectar
donde
no
se
est
siguiendo
ese
patrn
.
proteccin.
Ud.
debera
implementar
chequeos
en
los
controladores
Las
herramientas
automa=zadas
no
suelen
encontrar
estos
y/o
lgicas
de
negocios.
problemas.
Ejemplos
de
Escenarios
de
Ataque
Referencias
(en
ingls)
Escenario
#1:
El
atacante
simplemente
fuerza
la
navegacin
hacia
las
OWASP
URLs
obje=vo.
La
siguiente
URLs
requiere
auten=cacin.
Los
derechos
de
administrador
tambin
son
requeridos
para
el
acceso
a
OWASP
Top
10-2007
on
Failure
to
Restrict
URL
Access
la
pgina
admin_getappInfo.
ESAPI
Access
Control
API
hvp://example.com/app/getappInfo
OWASP
Development
Guide:
Chapter
on
Authoriza=on
hvp://example.com/app/admin_getappInfo
OWASP
Tes=ng
Guide:
Tes=ng
for
Path
Traversal
Si
un
usuario
no
auten=cado
puede
acceder
a
ambas
pginas,
eso
es
OWASP
Ar=cle
on
Forced
Browsing
una
vulnerabilidad.
Si
un
usuario
auten=cado,
no
administrador,
puede
acceder
a
admin_getappInfo,
tambin
es
una
Para
requerimientos
de
control
de
acceso
adicionales,
ver
vulnerabilidad,
y
podra
llevar
al
atacante
a
ms
pginas
de
ASVS
requirements
area
for
Access
Control
(V4).
administracin
protegidas
inadecuadamente.
Externos
Escenario
#2:
Una
pgina
proporciona
un
parmetro
de
accin
para
especicar
la
funcin
que
ha
sido
invocada,
y
diferentes
CWE
Entry
285
on
Improper
Access
Control
(Authoriza=on)
acciones
requieren
diferentes
roles.
Si
estos
roles
no
se
verican
al
invocar
la
accin,
es
una
vulnerabilidad.
Falsicacin
de
PeCciones
en
SiCos
A8
Cruzados
(CSRF)
Vectores
Debilidades
Impactos
Impactos
de
Ataque
de
Seguridad
Tcnicos
al
negocio
Agentes
de
Amenaza
Especco
de
la
Explotabilidad
Prevalencia
Deteccin
Impacto
Especco
de
la
Aplicacin
PROMEDIO
COMN
FCIL
MODERADO
aplicacin/negocio
Considere
cualquier
El
atacante
crea
pe=ciones
CSRF
aprovecha
el
hecho
que
la
mayora
de
las
Los
atacantes
pueden
Considerar
el
valor
de
persona
que
pueda
HTTP
falsicadas
y
engaa
aplicaciones
web
permiten
a
los
atacantes
predecir
cambiar
cualquier
dato
negocio
asociado
a
los
cargar
contenido
en
los
a
la
vic=ma
mediante
el
todos
los
detalles
de
una
accin
en
par=cular.
que
la
vc=ma
est
datos
o
funciones
navegadores
de
los
envo
de
e=quetas
de
Dado
que
los
navegadores
envan
credenciales
autorizada
a
cambiar,
o
a
afectados.
Tener
en
como
cookies
de
sesin
de
forma
autom=ca,
los
usuarios,
y
as
obligarlos
imgenes,
XSS
u
otras
atacantes
pueden
crear
pginas
web
maliciosas
acceder
a
cualquier
cuenta
lo
que
representa
a
presentar
una
solicitud
tcnicas.
Si
el
usuario
est
que
generan
pe=ciones
falsicadas
que
son
funcionalidad
donde
est
no
estar
seguro
si
los
para
su
si=o
web.
auten=cado,
el
ataque
indis=nguibles
de
las
leg=mas.
La
deteccin
de
autorizada,
incluyendo
usuarios
en
realidad
Cualquier
si=o
web
o
=ene
xito.
fallos
de
=po
CSRF
es
bastante
fcil
a
travs
de
registro,
cambios
de
desean
realizar
dichas
canal
HTML
que
el
pruebas
de
penetracin
o
de
anlisis
de
cdigo.
estado
o
cierre
de
sesin.
acciones.
Considerar
el
usuario
acceda
puede
impacto
que
=ene
en
la
realizar
este
=po
de
reputacin
de
su
ataque.
negocio.
De
esta
forma,
el
atacante
construye
una
pe=cin
que
transferir
el
OWASP
CSRFGuard
-
CSRF
Defense
Tool
dinero
de
la
cuenta
de
la
vc=ma
hacia
su
cuenta.
Seguidamente,
el
ESAPI
Project
Home
Page
atacante
inserta
su
ataque
en
una
e=queta
de
imagen
o
iframe
almacenado
en
varios
si=os
controlados
por
l
de
la
siguiente
forma:
ESAPI
HTTPU=li=es
Class
with
An=CSRF
Tokens
<img
src="hvp://example.com/app/transferFunds?
OWASP
Tes=ng
Guide:
Chapter
on
CSRF
Tes=ng
amount=1500&desCnaConAccount=avackersAcct#
width="0"
height="0"
/>
OWASP
CSRFTester
-
CSRF
Tes=ng
Tool
Algunos
componentes
El
atacante
iden=ca
un
Virtualmente
cualquier
aplicacin
=ene
este
=po
El
rango
completo
de
Considere
qu
puede
vulnerables
(por
ejemplo
componente
dbil
a
travs
de
problema
debido
a
que
la
mayora
de
los
debilidades
incluye
signicar
cada
frameworks)
pueden
ser
de
escaneos
autom=cos
o
equipos
de
desarrollo
no
se
enfocan
en
asegurar
inyeccin,
control
de
vulnerabilidad
para
el
iden=cados
y
anlisis
manuales.
Ajusta
el
que
sus
componentes
/
bibiliotecas
se
encuentren
acceso
roto,
XSS,
etc.
El
negocio
controlado
por
explotados
con
exploit
como
lo
necesita
y
actualizadas.
En
muchos
casos,
los
desarrolladores
impacto
puede
ser
desde
la
aplicacin
afectada.
herramientas
ejecuta
el
ataque.
Se
hace
no
conocen
todos
los
componentes
que
u=lizan,
y
mnimo
hasta
Puede
ser
trivial
o
puede
automa=zadas,
ms
di|cil
si
el
menos
sus
versiones.
Dependencias
entre
apoderamiento
completo
signicar
compromiso
aumentando
las
componente
es
componentes
dicultan
incluso
ms
el
problema.
del
equipo
y
compromiso
completo.
opciones
de
la
amenaza
ampliamente
u=lizado
en
de
los
datos.
ms
all
del
obje=vo
la
aplicacin.
atacado.
Para
determinar
si
es
vulnerable
necesita
buscar
en
estas
bases
de
2. Revisar
la
seguridad
del
componente
en
bases
de
datos
datos,
as
como
tambin
mantenerse
al
tanto
de
la
lista
de
correos
pblicas,
lista
de
correos
del
proyecto,
y
lista
de
correo
de
del
proyecto
y
anuncios
de
cualquier
cosa
que
pueda
ser
una
seguridad,
y
mantenerlos
actualizados.
vulnerabilidad,
si
uno
de
sus
componentes
=ene
una
vulnerabilidad,
3. Establecer
pol=cas
de
seguridad
que
regulen
el
uso
de
debe
evaluar
cuidadosamente
si
es
o
no
vulnerable
revisando
si
su
componentes,
como
requerir
ciertas
prc=cas
en
el
desarrollo
cdigo
u=liza
la
parte
del
componente
vulnerable
y
si
el
fallo
puede
de
soNware,
pasar
test
de
seguridad,
y
licencias
aceptables.
resultar
en
un
impacto
del
cual
cuidarse.
4. Sera
apropiado,
considerar
agregar
capas
de
seguridad
alrededor
del
componente
para
deshabilitar
funcionalidades
no
u=lizadas
y/o
asegurar
aspectos
dbiles
o
vulnerables
del
componente.
Spring
Remote
Code
Execu=on
El
abuso
de
la
implementacin
Agregando
preocupacin
por
la
seguridad
en
componentes
de
cdigo
abierto
2. Adems,
recorrer
la
aplicacin
para
observar
si
genera
3. Si
los
parmetros
de
des=no
no
pueden
ser
evitados,
asegrese
cualquier
redireccin
(cdigos
de
respuesta
HTTP
300-307,
que
el
valor
suministrado
sea
vlido
y
autorizado
para
el
picamente
302).
Analizar
los
parmetros
facilitados
antes
de
la
usuario.
redireccin
para
ver
si
parecen
ser
una
URL
de
des=no
o
un
Se
recomienda
que
el
valor
de
cuaIquier
parmetro
de
des=no
recurso
de
dicha
URL.
Si
es
as,
modicar
la
URL
de
des=no
y
sea
un
valor
de
mapeo,
el
lugar
de
la
direccin
URL
real
o
una
observar
si
la
aplicacin
redirige
al
nuevo
des=no.
porcin
de
esta
y
en
el
cdigo
del
servidor
traducir
dicho
valor
3. Si
el
cdigo
no
se
encuentra
disponible,
se
deben
analizar
todos
a
la
direccin
URL
de
des=no.
Las
aplicaciones
pueden
u=lizar
los
parmetros
para
ver
si
forman
parte
de
una
redireccin
o
ESAPI
para
sobreescribir
el
mtodo
sendRedirect()
y
asegurarse
reenvo
de
una
URL
de
des=no
y
probar
lo
que
hacen
estos.
que
todos
los
des=nos
redirigidos
son
seguros.
Evitar
estos
problemas
resulta
extremadamente
importante
ya
que
son
un
blanco
preferido
por
los
phishers
que
intentan
ganarse
la
conanza
de
los
usuarios.
Organcese
Para
vericar
la
seguridad
de
una
aplicacin
web
que
ha
desarrollado,
o
que
est
considerando
comprar,
OWASP
recomienda
que
revise
el
cdigo
de
la
aplicacin
(si
est
disponible),
y
tambin
evaluar
la
aplicacin.
OWASP
recomienda
una
combinacin
de
anlisis
de
seguridad
de
cdigo
y
pruebas
de
intrusin
siempre
que
sean
posibles,
ya
que
le
permita
aprovechar
las
fortalezas
de
ambas
tcnicas,
y
adems
los
dos
enfoques
se
complementan
entre
s.
Las
herramientas
para
ayudar
en
el
proceso
de
vericacin
pueden
mejorar
la
eciencia
y
efec=vidad
de
un
analista
experto.
Las
herramientas
de
evaluacin
de
OWASP
estn
enfocadas
en
ayudar
a
un
experto
en
ser
ms
ecaz,
ms
que
en
tratar
de
automa=zar
el
proceso
de
anlisis.
Cmo
estandarizar
la
vericacin
de
seguridad
de
las
aplicaciones:
Para
ayudar
a
las
organizaciones
a
desarrollar
cdigo
de
forma
consistente
y
con
un
nivel
denido
de
rigor,
al
momento
de
evaluar
la
seguridad
de
las
aplicaciones
web,
OWASP
ha
producido
los
estndares
de
vericacin
(ASVS)
de
seguridad
en
aplicaciones.
Este
documento
dene
un
estndar
de
vericacin
mnimo
para
realizar
pruebas
de
seguridad
en
aplicaciones
web.
OWASP
le
recomienda
u=lizar
los
ASVS
como
orientacin
no
solamente
para
vericar
la
seguridad
de
una
aplicacin
web,
sino
tambin
para
evaluar
que
tcnicas
son
ms
adecuadas
,
y
para
ayudarle
a
denir
y
seleccionar
un
nivel
de
rigor
en
la
comprobacin
de
seguridad
de
una
aplicacin
web.
OWASP
le
recomienda
tambin
u=lizar
los
ASVS
para
ayudar
a
denir
y
seleccionar
cualquiera
de
los
servicios
de
evaluacin
de
aplicaciones
web
que
puede
obtener
de
un
proveedor
externo.
Suite
de
Herramientas
de
Evaluacin:
El
OWASP
Live
CD
Project
ha
reunido
algunas
de
las
mejores
herramientas
de
seguridad
de
cdigo
abierto
en
un
nico
sistema
de
arranque.
Los
desarrolladores
Web,
analistas
y
profesionales
de
seguridad
pueden
arrancar
desde
este
Live
CD
y
tener
acceso
inmediato
a
una
suite
de
pruebas
de
seguridad
completa.
No
se
requiere
instalacin
o
conguracin
para
u=lizar
las
herramientas
proporcionadas
en
este
CD.
Revisin
de
Cdigo
Pruebas
de
seguridad
e
intrusin
Analizar
el
cdigo
fuente
es
la
manera
ms
slida
para
vericar
Tests
de
aplicacin:
El
proyecto
OWASP
ha
creado
la
si
una
aplicacin
es
segura.
Realizar
tests
sobre
una
aplicacin
Gua
de
pruebas
para
ayudar
a
los
desarrolladores,
analistas
y
slo
puede
demostrar
que
una
aplicacin
es
insegura.
especialistas
en
aplicaciones
de
seguridad
a
comprender
cmo
probar
eciente
y
de
modo
ecaz
la
seguridad
en
aplicaciones
web.
Esta
amplia
gua,
con
docenas
de
colaboradores,
ofrece
una
amplia
Revisin
de
Cdigo:
Como
un
aadido
a
la
cobertura
sobre
muchos
temas
de
comprobacin
de
seguridad
de
Gua
del
Desarrollador
OWASP,
y
la
Gua
de
Pruebas,
OWASP
aplicacin
web.
As
como
la
revisin
de
cdigo
=ene
sus
puntos
ha
producido
la
Gua
de
Revisin
de
Cdigo
para
ayudar
a
los
fuertes,
tambin
los
=enen
las
pruebas
de
seguridad.
Es
muy
desarrolladores
y
especialistas
en
aplicaciones
de
seguridad
a
convincente
cuando
puedes
demostrar
que
una
aplicacin
es
comprender
cmo
revisar
la
seguridad
de
una
aplicacin
web
insegura
demostrando
su
explotabilidad.
Tambin
hay
muchos
de
modo
ecaz
y
eciente
mediante
la
revisin
del
cdigo.
problemas
de
seguridad,
en
par=cular
la
seguridad
proporcionada
Existen
numerosos
problemas
de
seguridad
de
aplicacin
web,
por
la
infraestructura
de
las
aplicaciones,
que
simplemente
no
como
los
errores
de
inyeccin,
que
son
mucho
ms
fciles
de
pueden
ser
detectados
por
una
revisin
del
cdigo,
ya
que
no
es
la
encontrar
a
travs
de
revisin
de
cdigo,
que
mediante
aplicacin
quien
est
proporcionando
la
seguridad..
pruebas
externas..
Herramientas
de
Intrusin
de
Aplicacin:
WebScarab,
que
es
uno
de
los
proyectos
ms
u=lizados
de
OWASP,
es
un
proxy
de
Herramientas
de
revisin
de
cdigo:
OWASP
ha
estado
aplicacin
de
pruebas
web.
Permite
que
un
analista
de
seguridad
haciendo
algunos
trabajos
prometedores
en
el
rea
de
ayudar
interceptar
las
solicitudes
de
aplicacin
web,
de
modo
que
el
a
los
expertos
en
la
realizacin
de
anlisis
de
cdigo,
pero
analista
puede
descubrir
cmo
funciona
la
aplicacin,
y
luego
le
estas
herramientas
se
encuentran
an
en
sus
primeras
fases.
permite
enviar
solicitudes
de
prueba
para
ver
si
la
aplicacin
Los
autores
de
estas
herramientas
las
emplean
a
diario
para
responde
de
modo
seguro
a
las
pe=ciones.
Esta
herramienta
es
realizar
sus
revisiones
de
cdigo
de
seguridad,
pero
los
especialmente
ecaz
a
la
hora
de
ayudar
a
un
analista
en
la
usuarios
no
expertos
pueden
encontrar
estas
herramientas
un
iden=cacin
de
vulnerabilidades
XSS,
de
auten=cacin,
de
control
de
acceso.
ZAP
posee
un
ac=ve
scanner
y
es
libre.
poco
di|ciles
de
usar.
Estas
herramientas
incluyen
CodeCrawler,
Orizon,
y
O2.
Solamente
O2
se
ha
mantenido
como
proyecto
ac=vo
desde
el
Top
10
2010.
Existen
otras
herrmientas
como
FindBugs
con
su
plugin
FindSecurityBugs.
Prximos
pasos
para
las
+O
organizaciones
Comience
hoy
su
programa
de
seguridad
en
aplicaciones
La
seguridad
en
las
aplicaciones
ya
no
es
opcional.
Entre
el
aumento
de
los
ataques
y
presiones
de
cumplimiento
norma=vo,
las
organizaciones
deben
establecer
un
mecanismo
ecaz
para
asegurar
sus
aplicaciones.
Dado
el
asombroso
nmero
de
aplicaciones
y
lneas
de
cdigo
que
ya
estn
en
produccin,
muchas
organizaciones
estn
luchando
para
conseguir
ges=onar
el
enorme
volumen
de
vulnerabilidades.
OWASP
recomienda
a
las
organizaciones
establecer
un
programa
de
seguridad
de
las
aplicaciones
para
aumentar
el
conocimiento
y
mejorar
la
seguridad
en
todo
su
catlogo
de
aplicaciones.
Conseguir
un
nivel
de
seguridad
de
las
aplicaciones
requiere
que
diversas
partes
de
una
organizacin
trabajen
juntos
de
manera
eciente,
incluidos
los
departamentos
de
seguridad
y
auditora,
desarrollo
de
soNware,
ges=n
ejecu=va
y
negocio.
Se
requiere
que
la
seguridad
sea
visible,
para
que
todos
los
involucrados
puedan
ver
y
entender
la
postura
de
la
organizacin
en
cuanto
a
seguridad
en
aplicaciones.
Tambin
es
necesario
centrarse
en
las
ac=vidades
y
resultados
que
realmente
ayuden
a
mejorar
la
seguridad
de
la
empresa
mediante
la
reduccin
de
riesgo
de
la
forma
ms
rentable
posible.
Algunas
de
las
ac=vidades
clave
en
la
efec=va
aplicacin
de
los
programas
de
seguridad
incluyen:
Establecer
un
conjunto
de
pol=cas
y
estndares
que
proporcionen
una
base
de
referencia
de
seguridad
de
las
aplicaciones,
a
las
cuales
todo
el
equipo
de
desarrollo
pueda
adherirse.
Cuente
con
Denir
un
conjunto
de
controles
de
seguridad
reu=lizables
comn
que
complementen
esas
pol=cas
y
estndares
una
base
y
proporcionen
una
gua
en
su
uso
en
el
diseo
y
desarrollo
slida
Establecer
un
perl
de
formacin
en
seguridad
en
aplicaciones
que
sea
un
requisito,
dirigido
a
los
diferentes
roles
y
=pologas
de
desarrollo.
Integre
la
Denir
e
integrar
ac=vidades
de
implementacin
de
seguridad
y
vericacin
en
los
procesos
opera=vos
y
de
desarrollo
existentes.
Estas
ac=vidades
incluyen
el
Modelado
de
Amenazas,
Diseo
y
Revisin
seguros,
Desarrollo
Seguridad
en
Seguro
y
Revisin
de
Cdigo,
Pruebas
de
Intrusin,
Remediacin,
etc.
los
Procesos
Para
tener
exito,
proporcionar
expertos
en
la
materia
y
servicios
de
apoyo
a
los
equipos
de
desarrollo
y
de
Existentes
proyecto.
Ges=onar
a
travs
de
mtricas.
Manejar
las
decisiones
de
mejora
y
provisin
de
recursos
econmicos
basndose
en
las
mtricas
y
el
anlisis
de
los
datos
capturados.
Las
mtricas
incluyen
el
seguimiento
de
las
prc=cas/
Proporcione
ac=vidades
de
seguridad,
vulnerabilidades
presentes,
mi=gadas,
cobertura
de
la
aplicacin,
densidad
de
defectos
una
visin
de
por
=po
y
can=dad
de
instancias,
etc.
gesCn
Analizar
los
datos
de
las
ac=vidades
de
implementacin
y
vericacin
para
buscar
el
orgen
de
la
causa
y
patrones
en
las
vulnerabilidades
para
poder
conducir
as
mejoras
estratgicas
en
la
organizacin
+R
Acerca
de
los
riesgos
2
0
1
2
1
*
2
2
Detalles
acerca
de
los
factores
de
+F
riesgo
Resumen
de
los
factores
de
riesgo
Top
10
La
siguiente
tabla
presenta
un
resumen
del
Top
10
2013
de
Riesgos
de
Seguridad
en
Aplicaciones,
y
los
factores
de
riesgo
que
hemos
asignado
a
cada
uno.
Estos
factores
fueron
determinados
basndose
en
las
estads=cas
disponibles
y
en
la
experiencia
del
equipo
OWASP
TOP
10.
Para
entender
estos
riesgos
para
una
aplicacin
u
organizacin
par=cular,
debe
considerar
sus
propios
agentes
de
amenaza
e
impactos
especcos
al
negocio.
Incluso
debilidades
de
soNware
escandalosas
podran
no
representar
un
riesgo
serio
si
no
hay
agentes
de
amenaza
en
posicin
de
ejecutar
el
ataque
necesario
o
el
impacto
al
negocio
podra
ser
insignicante
para
los
ac=vos
involucrados.
Especco
de
Especco
de
A2-AutenCcacin
PROMEDIO
DIFUNDIDA
PROMEDIO
SEVERO
la
Aplicacin
la
Aplicacin
Especco
de
Especco
de
A3-XSS
PROMEDIO
MUY
DIFUNDIDA
FCIL
MODERADO
la
Aplicacin
la
Aplicacin
Especco
de
Especco
de
A8-CSRF
PROMEDIO
COMN
FCIL
MODERADO
la
Aplicacin
la
Aplicacin
BETA:
Un
libro
de
calidad
Beta
es
el
prximo
nivel
de
calidad.
BAJO
LAS
S
IGUIENTES
CONDICIONES:
Reconocimiento
Debe
reconocer
los
El
contenido
se
encuentra
todava
en
desarrollo
hasta
la
crditos
de
la
obra
de
la
manera
prxima
publicacin.
especicada
por
el
autor
o
el
licenciante
(pero
no
de
una
manera
que
sugiera
que
=ene
su
apoyo
o
apoyan
el
uso
que
hace
de
FINAL:
Un
libro
de
calidad
Final
es
el
nivel
ms
alto
de
calidad,
su
obra).
y
es
el
producto
nalizado.
Compar=r
bajo
la
misma
licencia
Si
altera
o
transforma
esta
obra,
o
genera
una
obra
derivada,
slo
puede
distribuir
la
obra
generada
bajo
una
licencia
idn=ca
a
sta.
El
proyecto
abierto
de
seguridad
en
aplicaciones
Web
(OWASP
por
sus
siglas
en
ingls)
es
una
comunidad
abierta
y
libre
de
nivel
mundial
enfocada
en
mejorara
la
seguridad
en
las
aplicaciones
de
soNware.
Nuestra
misin
es
hacer
la
seguridad
en
aplicaciones
"visible",
de
manera
que
las
organizaciones
pueden
hacer
decisiones
informadas
sobre
los
riesgos
en
la
seguridad
de
aplicaciones.
Todo
mundo
es
libre
de
par=cipar
en
OWASP
y
en
todos
los
materiales
disponibles
bajo
una
licencia
de
soNware
libre
y
abierto.
La
fundacin
OWASP
es
una
organizacin
sin
nimo
de
lucro
501c3
que
asegura
la
disponibilidad
y
apoyo
permanente
para
nuestro
trabajo.