Política de seguridad de aplicaciones Web

Ataques:
 AUTENTICACIÓN
o Prueba y error
 Ataque de fuerza bruta
 Ataque de diccionario
 Ataque de fuerza bruta de usuarios
 Ataque mixto
o Autenticación insuficiente
o Validación insuficiente en la recuperación de contraseñas
 Recuperación basada en preguntas predecibles
 Revelación de nombres de usuario u otra información
 AUTORIZACIÓN
o Autorización insuficiente
o Predicción de credenciales o sesión
o Periodo de expiración de sesión escaso
o Fijación de sesión
 EJECUCIÓN DE COMANDOS
o Desbordamiento de buffer
o LDAP Injection
o Comandos de Sistema Operativo
o SQL Injection
 Acceso a la aplicación mediante usuario y contraseña
 Obtención de contenido privado
 Borrado del contenido de una tabla.
 ATAQUES DE TIPO LÓGICO
o Abuso de funcionalidad
 Envío de correo electrónico
 Bloqueo de cuentas
 Uso de aplicación como proxy
o Denegación de servicio
o Protección contra bots insuficiente
o Validación insuficiente de procesos

Riesgo: Autenticación y autorización de las aplicaciones a nivel de

usuarios.
Propósito El propósito de esta política es definir evaluaciones de seguridad
en el área de autenticación de los sistemas Web
Las evaluaciones de la aplicación Web se realizan para
identificar posibles o debilidades detectadas como resultado de
una mala configuración inadvertida, autenticación débil.
La mitigación de estos problemas limitará a posibles nuevos
ataque de los servicios tanto interna como externamente, así

Alcance
Política
1.a) Las aplicaciones
desarrolladas deben cumplir
un nivel de esfuerzo que se
realice para aumentar la
seguridad tanto a nivel de
desarrollo como de diseño.
1.b) Las aplicaciones deben
definir usuarios mediante el
mantenimiento de los datos
relacionados con los usuarios
mediante una base de datos
relacional, la validación se
hará normalmente en el
servidor.
1c.) Las aplicaciones deben
definir roles en el proceso de
autorización que restringen el
acceso a determinados
recursos.
como satisfacer el cumplimiento de las políticas de seguridad
informática.}
Esta política cubre todas las evaluaciones de seguridad de
aplicaciones Web solicitadas por cualquier individuo, grupo o
departamento con el fin de mantener la postura de seguridad,
cumplimiento, riesgo gestión y control de cambios de las
tecnologías.
Todas las evaluaciones de seguridad de las aplicaciones Web
serán realizadas por personal de seguridad delegado, ya sea
empleado o contratado.
Todos los hallazgos se consideran confidenciales y se
distribuirán a las personas que "necesiten saberlo".
Distribución de cualquier hallazgo fuera de la empresa, está
estrictamente prohibido a menos que lo apruebe el Director de
información.
Cualquier relación dentro de las aplicaciones de varios niveles
que se encuentren durante la fase de determinación del
alcance será incluida en la evaluación a menos que estén
explícitamente limitados.
Limitaciones y posterior justificación se documentará antes del
inicio de la evaluación
Control Estándares
1.a) métodos de ISO/IEC 27000:2012
autenticación. UNE-ISO/IEC 27001:2007.
o Basic. UNE-ISO/IEC 27002:2009.
o Digest.
o Form.
o Client-Cert.
1.b) Se permite validar los
usuarios tanto con bases de
datos que implementen JDBC,
o como base de datos LDAP.
1.c) La asociación de roles a los
usuarios determinados crear
una política de acceso y
restricción. Para definir los
roles, en las aplicaciones se
realizarán mediante
declarativamente desde el
web.xml.
1d.) Las aplicaciones deben 1d.) Restringir acceso a
declaran los recursos que son recursos. Para realizarlo se
accesibles desde cada rol. utilizará el elemento security-
constraint. Este elemento nos
1.e) Lanzamiento de una permite restringir el acceso a
aplicación nueva o un determinado conjunto de
importante: estará sujeta a recurso a un determinado
una evaluación completa conjunto de roles.
antes de aprobación de la
documentación de control de
cambios y / o publicación en
vivo ambiente.