Workshop ASVS en el proyecto de semestre

El Estándar de verificación de seguridad de aplicaciones (ASVS), (Application Security Verification

Standard), establece un marco de requisitos y controles de seguridad que se centran en definir los
controles de seguridad funcionales y no funcionales necesarios al diseñar, desarrollar y probar aplicaciones
web modernas y Servicios web.
Es fundamental comenzar con la habilitación del desarrollador en codificación segura, codificación y
pruebas, construcción, implementación, configuración y operaciones, y terminando con pruebas
independientes de seguimiento para asegurar que todos los controles de seguridad están presentes y
funcionales; éstos controles se validan con listas de comprobación.
El estándar de verificación de seguridad de la aplicación define tres niveles de verificación de seguridad,
con cada nivel aumentando en profundidad.
• ASVS Nivel 1 es para niveles de bajo aseguramiento, y es completamente de penetración
comprobable
• ASVS Nivel 2 es para aplicaciones que contienen datos confidenciales, que requiere protección y es
el nivel recomendado para la mayoría de las aplicaciones
• ASVS Nivel 3 es para las aplicaciones más críticas: aplicaciones que realizan transacciones de alto
valor, contienen datos médicos confidenciales o cualquier aplicación que requiera el nivel más alto
de confianza.

De acuerdo a los niveles mencionados, se caracterizan 14 controles:

V1: Requisitos de arquitectura, diseño y modelado de amenazas

V2: Requisitos de verificación de autenticación
V3: Requisitos de verificación de la gestión de sesiones
V4: Requisitos de verificación de control de acceso
V5: Requisitos de validación, desinfección y codificación de verificación
V6: Requisitos de verificación de criptografía almacenada
V7: Requisitos de manejo de errores y verificación de registro
V8: Requisitos de verificación de protección de datos
V9: Requisitos de verificación de comunicaciones
V10: Requisitos de verificación de código malintencionado
V11: Requisitos de verificación de lógica empresarial
V12: Requisitos de verificación de archivos y recursos
V13: Requisitos de verificación de API y servicios web
V14: Requisitos de verificación de configuración
Considerar los siguientes controles e implementarlos en el Proyecto de semestre.

V1.2 Requisitos arquitectónicos de autenticación

1.2.3 Compruebe que la aplicación utiliza un único mecanismo de autenticación examinado que se
sabe que es seguro, se puede ampliar para incluir la autenticación segura y tiene suficiente
registro y supervisión para detectar abusos o infracciones de la cuenta.

V1.4 Requisitos arquitectónicos de control de acceso

1.4.5 Compruebe que se utiliza el control de acceso basado en atributos o entidades mediante el que
el código comprueba la autorización del usuario para una característica o elemento de datos en
lugar de solo su rol. Los permisos deben asignarse mediante roles.

V1.6 Requisitos arquitectónicos criptográficos

1.6.3 Compruebe que todas las claves y contraseñas son reemplazables y forman parte de un proceso
bien definido para volver a cifrar los datos confidenciales.

V2.1 Requisitos de seguridad de contraseña

2.1.1 Compruebe que las contraseñas del conjunto de usuarios tienen al menos 12 caracteres de
longitud.

2.1.5 Compruebe que los usuarios pueden cambiar su contraseña.

2.1.6 Compruebe que la funcionalidad de cambio de contraseña requiere la contraseña actual y

nueva del usuario.

2.1.8 Compruebe que se proporciona un medidor de fuerza de contraseña para ayudar a los usuarios
a establecer una contraseña más segura.

2.1.12 Compruebe que el usuario puede elegir ver temporalmente toda la contraseña enmascarada o
ver temporalmente el último carácter escrito de la contraseña en plataformas que no lo tienen
como funcionalidad nativa.

V2.5 Requisitos de recuperación de credenciales

2.5.3 Compruebe que la recuperación de credenciales de contraseña no revele la contraseña actual

de ninguna manera.
2.5.5 Compruebe que, si se cambia o reemplaza un factor de autenticación, se notifica al usuario de
este evento.