Especialización en Seguridad en Redes de Computadores SENA - 2020
• ‘Proyecto abierto de seguridad de aplicaciones web’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera. OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas lo que facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informáticas. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías. Todas las herramientas de OWASP, documentos, videos, presentaciones y capítulos son gratuitos y abiertos a cualquier interesado en mejorar la seguridad en aplicaciones. Abogamos por resolver la seguridad en aplicaciones como un problema de personas, procesos y tecnología, ya que los enfoques más efectivos para la seguridad en aplicaciones requieren mejoras en todas estas áreas. OWASP es un nuevo tipo de organización. Nuestra libertad de presiones comerciales nos permite proveer información sobre seguridad en aplicaciones sin sesgos, practica y rentable. Cuáles son los riesgos en seguridad de aplicaciones? Los atacantes pueden, potencialmente, utilizar diferentes rutas a través de su aplicación para perjudicar su negocio u organización. Cada uno de estos caminos representa un riesgo que puede o no ser suficientemente grave como para merecer atención. Cuáles son los riesgos en seguridad de aplicaciones? Algunas veces, estos caminos son fáciles de encontrar y explotar, mientras que otras son extremadamente difíciles. De la misma manera, el perjuicio ocasionado puede no tener consecuencias, o puede dejarlo en la quiebra. A fin de determinar el riesgo para su organización, puede evaluar la probabilidad asociada a cada agente de amenaza, vector de ataque, debilidad de seguridad y combinarlo con una estimación del impacto técnico y de negocio para su organización. Juntos, estos factores determinan su riesgo general ¿Cuál es mi Riesgo? El OWASP Top 10 se enfoca en identificar los riesgos más críticos para un amplio tipo de organizaciones. Para cada uno de estos riesgos, se proporciona información genérica sobre la probabilidad y el impacto técnico, utilizando el siguiente esquema de evaluación, basado en la Metodología de Evaluación de Riesgos de OWASP. Top 10 de riesgos. • El Top 10 de OWASP es un poderoso documento que representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web. • Adoptar el OWASP Top 10 es quizás el primer paso más efectivo para cambiar la cultura de desarrollo de software dentro de su organización en una que produzca código seguro. Top 10 de riesgos. 1. La inyección SQL es la colocación de código malicioso en declaraciones SQL, a través de la entrada de la página web. Es una de las técnicas de hacking web más comunes, la cual podría destruir una base de datos. Top 10 de riesgos. 2. La perdida de la autenticación Es todo lo referido al tratamiento y técnicas de protección de credenciales y cómo las implementan las aplicaciones:
• La utilización de canales no cifrados para transmitir
credenciales. • No proteger debidamente las credenciales de usuarios. • Mala gestión en la recuperación de credenciales. • Exposición de los ID de sesión (Cookies de sesión). Top 10 de riesgos. • 3. Exposición de datos sensibles: Es la exposición o facilidad con la que un usuario malintencionado o ciber delincuente pudiera comprometer estos datos robando o modificándolos para su propio beneficio, en perjuicio a una persona o empresa. Top 10 de riesgos. 4. Entidades externas XML: Los atacantes pueden explotar procesadores XML vulnerables si cargan o incluyen contenido hostil en un documento XML, explotando código vulnerable, dependencias o integraciones. Muchos antiguos procesadores de XML permiten la especificación de una entidad externa, una URI sin referencia y evaluada durante el procesamiento del XML. Top 10 de riesgos. 5. Perdida de control de acceso: Sucede cuando hay referencias internas a pagina, módulos, carpetas o registros sin control de acceso, que pueden ser manipuladas para accesos indeseados.
6. Configuracion incorreta de seguridad: Los
problemas de configuración o configuraciones por defecto pueden comprometer un sistema completo. Es importante configurar de forma personalizada los componentes que se utilizan y evitar usar configuraciones genéricas. Top 10 de riesgos. 7. Cross – site scripting : En el ataque XSS, se agregan scripts antes que se envíen y ejecuten los datos al browser para secuestrar sesiones, redirigir a sitios maliciosos o desfigurar páginas.
8. Deserialización insegura: Las aplicaciones
distribuidas con listeners (oyentes) públicos o aplicaciones que dependen del mantenimiento del estado del cliente, probablemente permitan adulteración de datos serializados. Top 10 de riesgos. • 9. Utilización de componentes convulnerabilidades conocidas : En el ataque XSS, se agregan scripts antes que se envíen y ejecuten los datos al browser para secuestrar sesiones, redirigir a sitios maliciosos o desfigurar páginas. Top 10 de riesgos. 10. Logging y monitoreo insuficientes: en el ataque xss: Registrar inadecuadamente las fallas, la falta de alertas y de bloqueos, permiten que el atacante siga probando vulnerabilidades hasta conseguir una que sea explorable. Bibliografia