Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • OWASP (Open Web Application Security Project)

    Cargado por

    Alexander salazar
    84 vistas17 páginas
    exposicion OWASP

    Título original

    OWASP (Open Web Application Security Project)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    exposicion OWASP

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    84 vistas17 páginas

    OWASP (Open Web Application Security Project)

    Cargado por

    Alexander salazar
    exposicion OWASP

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 17

    OWASP (Open Web

    Application
    Security Project)

    WILBER ALEXANDER SALAZAR GALEANO

    Especialización en Seguridad en Redes de Computadores SENA - 2020


    • ‘Proyecto abierto de seguridad de aplicaciones
    web’) es un proyecto de código abierto dedicado a
    determinar y combatir las causas que hacen que
    el software sea inseguro. La Fundación OWASP es
    un organismo sin ánimo de lucro que apoya y
    gestiona los proyectos e infraestructura de OWASP.
    La comunidad OWASP está formada por empresas,
    organizaciones educativas y particulares de todo
    mundo. Juntos constituyen una comunidad de
    seguridad informática que trabaja para crear
    artículos, metodologías, documentación,
    herramientas y tecnologías que se liberan y
    pueden ser usadas gratuitamente por cualquiera.
    OWASP es un nuevo tipo de entidad en el
    mercado de seguridad informática. Estar libre
    de presiones corporativas lo que facilita que
    OWASP proporcione información imparcial,
    práctica y redituable sobre seguridad de
    aplicaciones informáticas. OWASP no está
    afiliado a ninguna compañía tecnológica, si bien
    apoya el uso informado de tecnologías de
    seguridad. OWASP recomienda enfocar la
    seguridad de aplicaciones informáticas
    considerando todas sus dimensiones: personas,
    procesos y tecnologías.
    Todas las herramientas de OWASP, documentos,
    videos, presentaciones y capítulos son gratuitos y
    abiertos a cualquier interesado en mejorar la seguridad
    en aplicaciones. Abogamos por resolver la seguridad en
    aplicaciones como un problema de personas, procesos
    y tecnología, ya que los enfoques más efectivos para la
    seguridad en aplicaciones requieren mejoras en todas
    estas áreas. OWASP es un nuevo tipo de organización.
    Nuestra libertad de presiones comerciales nos permite
    proveer información sobre seguridad en aplicaciones
    sin sesgos, practica y rentable.
    Cuáles son los riesgos en
    seguridad de aplicaciones?
    Los atacantes pueden, potencialmente, utilizar
    diferentes rutas a través de su aplicación para
    perjudicar su negocio u organización. Cada uno de
    estos caminos representa un riesgo que puede o no ser
    suficientemente grave como para merecer atención.
    Cuáles son los riesgos en
    seguridad de aplicaciones?
    Algunas veces, estos caminos son fáciles de encontrar y
    explotar, mientras que otras son extremadamente
    difíciles. De la misma manera, el perjuicio ocasionado
    puede no tener consecuencias, o puede dejarlo en la
    quiebra. A fin de determinar el riesgo para su
    organización, puede evaluar la probabilidad asociada a
    cada agente de amenaza, vector de ataque, debilidad de
    seguridad y combinarlo con una estimación del impacto
    técnico y de negocio para su organización. Juntos, estos
    factores determinan su riesgo general
    ¿Cuál es mi Riesgo?
    El OWASP Top 10 se enfoca en identificar los
    riesgos más críticos para un amplio
    tipo de organizaciones. Para cada uno de estos
    riesgos, se proporciona
    información genérica sobre la probabilidad y el
    impacto técnico, utilizando el
    siguiente esquema de evaluación, basado en la
    Metodología de Evaluación de
    Riesgos de OWASP.
    Top 10 de riesgos.
    • El Top 10 de OWASP es un poderoso documento
    que representa un amplio consenso sobre los
    riesgos de seguridad más críticos para las
    aplicaciones web.
    • Adoptar el OWASP Top 10 es quizás el primer paso
    más efectivo para cambiar la cultura de desarrollo
    de software dentro de su organización en una que
    produzca código seguro.
    Top 10 de riesgos.
    1. La inyección SQL es la colocación de código
    malicioso en declaraciones SQL, a través de la entrada
    de la página web. Es una de las técnicas de hacking
    web más comunes, la cual podría destruir una base de
    datos.
    Top 10 de riesgos.
    2. La perdida de la autenticación Es todo lo referido al
    tratamiento y técnicas de protección de credenciales y
    cómo las implementan las aplicaciones:

    • La utilización de canales no cifrados para transmitir


    credenciales.
    • No proteger debidamente las credenciales de
    usuarios.
    • Mala gestión en la recuperación de credenciales.
    • Exposición de los ID de sesión (Cookies de
    sesión).
    Top 10 de riesgos.
    • 3. Exposición de datos sensibles: Es la exposición o
    facilidad con la que un usuario malintencionado o
    ciber delincuente pudiera comprometer estos datos
    robando o modificándolos para su propio beneficio,
    en perjuicio a una persona o empresa.
    Top 10 de riesgos.
    4. Entidades externas XML: Los atacantes pueden
    explotar procesadores XML vulnerables si cargan o
    incluyen contenido hostil en un documento XML,
    explotando código vulnerable, dependencias o
    integraciones.
    Muchos antiguos procesadores de XML permiten la
    especificación de una entidad externa, una URI sin
    referencia y evaluada durante el procesamiento del
    XML.
    Top 10 de riesgos.
    5. Perdida de control de acceso: Sucede cuando hay
    referencias internas a pagina, módulos, carpetas o
    registros sin control de acceso, que pueden ser
    manipuladas para accesos indeseados.

    6. Configuracion incorreta de seguridad: Los


    problemas de configuración o configuraciones por
    defecto pueden comprometer un sistema completo. Es
    importante configurar de forma personalizada los
    componentes que se utilizan y evitar usar
    configuraciones genéricas.
    Top 10 de riesgos.
    7. Cross – site scripting : En el ataque XSS, se
    agregan scripts antes que se envíen y ejecuten los
    datos al browser para secuestrar sesiones, redirigir a
    sitios maliciosos o desfigurar páginas.

    8. Deserialización insegura: Las aplicaciones


    distribuidas con listeners (oyentes) públicos o
    aplicaciones que dependen del mantenimiento del
    estado del cliente, probablemente permitan
    adulteración de datos serializados.
    Top 10 de riesgos.
    • 9. Utilización de componentes convulnerabilidades
    conocidas : En el ataque XSS, se agregan scripts
    antes que se envíen y ejecuten los datos al browser
    para secuestrar sesiones, redirigir a sitios
    maliciosos o desfigurar páginas.
    Top 10 de riesgos.
    10. Logging y monitoreo insuficientes: en el ataque
    xss: Registrar inadecuadamente las fallas, la falta de
    alertas y de bloqueos, permiten que el atacante siga
    probando vulnerabilidades hasta conseguir una que
    sea explorable.
    Bibliografia

    https://owasp.org/

    ahttps://www.veracode.com/directory/owasp-top-10

    También podría gustarte