Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Javier Bermejo
Javier Bermejo Higuera
Higuera
Fase desarrollo.
Fase distribución e instalación
Fase de Operación
Fase de Mantenimiento y sostenimiento
Ciclo de Vida de la
vulnerabilidad
Riesgo aumenta
desde que se
descubre la
vulnerabilidad
hasta que se
parchea
− Identificador CVE.
− Breve descripción
de la vulnerabilidad.
− Referencias.
RANK ID NOMBRE
[1] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL
Injection')
[2] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS
Command Injection')
[3] CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
[4] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site
Scripting')
[5] CWE-306 Missing Authentication for Critical Function
[6] CWE-862 Missing Authorization
[7] CWE-798 Use of Hard-coded Credentials
[8] CWE-311 Missing Encryption of Sensitive Data
[9] CWE-434 Unrestricted Upload
Seguridad delof File with
Software Dangerous
- Javier Bermejo Type
Higuera
Vulnerabilidades y su clasificación
Las 10 vulnerabilidades
de seguridad más
críticas en aplicaciones
Web.
1. Propiedades esenciales
Integridad.
Disponibilidad.
Confidencialidad.
Fiabilidad.
Autenticación.
Trazabilidad.
Robustez.
Resiliencia.
Tolerancia
2. Factores influyentes
Herramientas de desarrollo.
Componentes adquiridos.
Conocimiento Profesional.
Configuraciones Desplegadas.
Ambiente de Operación
Principios de diseño y buenas prácticas de desarrollo.
Tramas Enlace
https://seguridadwebjorge.wordpress.com/2016/02/13/seguridad-informatica/
dgraphicstyle.wordpress.com/2012/09/05/simplicidad-y-complejidad-en-el-diseno
https:// /
Objetivo: minimizar la
probabilidad de que
actores maliciosos
obtengan fácilmente
acceso a las ubicaciones
de memoria u objetos de
datos del sistema.
Security Attributes
Autenticación Fiabilidad Trazabilidad
Complementarias
Robustez Resiliencia Tolerancia
Separación código,
Entorno de producción o Registro de eventos de
ejecutables y datos
ejecución inseguro seguridad
configuración y programa
Diseño
Diseño de software La seguridad por
Fallar de forma segura
resistente oscuridad: error
Separación de
Seguridad por defecto Simplicidad de Diseño
Privilegios
Otras metodologías
► Microsoft Trustworthy Computing SDL.
► CLASP: Comprehensive Lightweight Application Security Process.
► Team Software Process (TSP).
► Oracle Software Security Assurance.
► Appropriate and Effective Guidance in Information Security (AEGIS).
► Rational Unified Process-Secure (RUPSec).
► Secure Software Development Model (SSDM).
► Waterfall-Based Software Security Engineering Process Model
► Building Security In Maturity Model (BSIMM) .
► Software Assurance Maturity Model (OPEN SAMM)
gestión de
riesgos 3. Establecer y
mantener el
Caso Seguridad
Medidas Seguridad
Actividades de Caso Seguridad
Medidas Seguridad
medidas 4. Monitorizar
las actividades
de
aseguramiento y
productos
AREA DE PROCESOS
1. Administrar los controles de seguridad
2. Evaluar el impacto
3. Evaluar riesgos de seguridad
4. Valoración de la amenaza
5. Valoración vulnerabilidades
6. Construir argumentos seguridad
7. Coordinar la seguridad
8. Monitorización seguridad
9. Seguridad en la entradas
10. Especificar las necesidades de seguridad
11. Verificar y validar la seguridad
Application security
Los principios
definidos para este
estándar incluyen: "Se debe demostrar la "Inversión acorde al
seguridad de la aplicación" nivel de seguridad de la
aplicación"
El proceso de auditoría se
apoya en las evidencias
Los costes para aplicar los
verificables proporcionada por
los controles de seguridad de controles de seguridad a
la aplicación. Validan si ha aplicaciones y realizar las
alcanzado el nivel de mediciones deben
confianza especificado alinearse con el Nivel de
confianza específico
PREGUNTAS
Seguridad del Software- Javier Bermejo Higuera