Programación Segura

MÓDULO: Programación Segura

SEMANA: “2”
Docente: mary sole
Estudiante: Jimmy Ávila
Índice

Introducción.........................................................................................................................4
Desarrollo.............................................................................................................................5
Conclusión...........................................................................................................................6
Bibliografía...........................................................................................................................7

Introducción
.
PROGRAMACIÓN SEGURA PARA DESARROLLO – OWASP

El Open Web Aplicación Security Project (OWASP) es una organización mundial, sin fines de
lucro, centrada en mejorar la seguridad del software. Su misión es hacer que la seguridad del
software sea visible, para que las personas y las organizaciones puedan tomar decisiones
informadas, Es una comunidad abierta dedicada a permitir que las organizaciones
desarrollen, adquieran y mantengan aplicaciones en las que se pueda confiar.

Desarrollo

2. En base a los 10 riesgos propuestos por OWASP TOP-10 y AVS investiguen en profundidad 3
de las 10 vulnerabilidades que sean de su interés y puedan aplicar en su vida diaria, explicando la
importancia de las mismas.

 La inyección de comandos se ha mantenido en las primeras posiciones desde el 2007

del OWASP Top 10, esto es debido a la falta de validación de los datos de entrada que
aún sigue siendo uno de los mayores defectos que comenten los desarrolladores de
software.

2
  La desacralización insegura es una nueva vulnerabilidad propuesta por la comunidad de
OWASP que aparece por primera vez en OWASP Top 10. Se trata de una vulnerabilidad
que podría permitir la ejecución remota de código en servicios web.

 Ejecución maliciosa de fichero mediante descargas en los sitios web se ejecutan en segundo
plano la descarga de fichero malicioso para afectar nuestra privacidad.

Owaps top 10 2007 hasta 2017

3. Luego, ejemplifique a modo general y en su vida diaria algunas de las vulnerabilidades

identificadas

Vulnerabilidad de redirección de URL

Esta vulnerabilidad funciona como una aplicación que toma un parámetro específico y
redirecciona a los usuarios a sitios sin ninguna validación. Es utilizada ampliamente en los
ataques conocidos como phishing, donde los usuarios son engañados y caen dentro de un
sitio web malicioso.

Ejecución remota de código

Esta vulnerabilidad es una de las más conocidas y utilizadas por los hackers. A través de la
ejecución de códigos, el pirata cibernético podrá conocer los errores que puede tener el sitio
e implantar un malware, que a su vez explotará la vulnerabilidad de la página web y le
facilitará al delincuente la ejecución de código de manera remota, trayendo como
consecuencia que el hacker tenga el control absoluto sobre el sistema informático de la web.

3
4. Indiquen por qué es importante la mitigación de las 3 vulnerabilidades seleccionadas

 La protección contra ataques aplica automáticamente una serie de técnicas de mitigación de

vulnerabilidad a los procesos y las aplicaciones del sistema operativo. La protección contra
vulnerabilidades es compatible a partir de Windows 10.

 También puede usar el modo de auditoría para evaluar cómo afectaría a su organización la
protección contra ataques si estaba habilitada.

 Algunas tecnologías de mitigación de seguridad pueden tener problemas de compatibilidad

con algunas aplicaciones. Debe probar la protección contra vulnerabilidades en todos los
escenarios de uso de destino con el modo auditoría antes de implementar la configuración
en un entorno de producción o el resto de la red.

5. Finalmente, elijan un modelamiento de amenazas de los vistos en los contenidos de la semana e

indique el porqué de su elección (Modelamiento de amenazas, STRIDE, DREAD, PASTA, NIST,
etc.)

Mi elección especifica como seguridad STRIDE representa las seis categorías de amenaza, cada
una de las cuales viola una propiedad específica de las variaciones.

✓ Suplantar o hacerse pasar por otra persona o computadora, que viola la

autenticidad
✓ Manipulación de datos, que viola la integridad
✓ Repudio, o imposibilitar vincular con usted una acción que usted realizó, lo que viola
el no-repudio
✓ Divulgación de información, que viola la confidencialidad
✓ Denegación de servicio, que viola la disponibilidad
✓ Elevación de privilegios, que viola la autorización
✓ Fue creado inicialmente Como parte del proceso de modelado de amenaza

Conclusión

4
El testeo o pruebas es importante tomar en cuenta las personas que son los usuarios de la
herramienta o plataforma, la tecnología en la cual está basado ese sistema y los procesos que
debe realizar, y todo esto debe hacerse de manera de tener siempre la integridad de los datos,
la confidencialidad y la disponibilidad de la información para lograr estar alineados con la triada
de la seguridad y una programación segura.

Bibliografía

Verizon 2018 Data Breach Investigation Report

Threat Modeling: Designing for Security, Adam Shostack.