Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Save to My Library
Look up keyword or section
Like this
11Activity

Table Of Contents

Tabla de Contenidos
Acerca de OWASP
Estructura y Licenciamiento
Participación y Membresía
Proyectos
Introducción
¿Que son las aplicaciones web?
Descripción general
Aplicaciones de pequeña a mediana escala
Aplicaciones de gran escala
Arquitectura y Diseño de Seguridad
Marcos de Política
Sumario
Compromiso Organizacional con la Seguridad
La Posición de OWASP dentro del marco legislativo
Metodología de Desarrollo
Control de Código Fuente
Principios de codificación segura
Clasificación de activos
Sobre los atacantes
Pilares esenciales de la seguridad de la información
Arquitectura de Seguridad
Principios de Seguridad
Modelado de Riesgo de Amenaza
Modelado de Amenaza de Riesgo utilizando el Proceso de Modelado de Amenaza de
Ejecutando modelado de riesgo de amenazas
Sistemas Alternativos de Modelado de Amenazas
Octave
Lectura Adicional
Manejando pagos en el Comercio Electrónico
Objetivos
Conformidades y leyes
Conformidad con PCI
Manejando tarjetas de crédito
Lectura adicional
Phishing
¿Que es el phishing?
Educación del usuario
Haga fácil a sus usuarios reportar estafas
Comuníquese con los clientes a través de correo electrónico
Nunca pedir a sus clientes por sus secretos
Arregle todos sus problemas de XSS
No utilice ventanas emergentes
¡No sea enmarcado!
Mueva su aplicación a un enlace de distancia de su página principal
Imponga el uso de referencias locales para imágenes y otros recursos
Mantenga la barra de direcciones, utilice SSL, no utilice direcciones IP
No sea la fuente de robos de identidad
Implemente protecciones dentro de su aplicación
Monitoree actividad inusual en las cuentas
Ponga rápidamente fuera de línea los servidores victimas de phishing
Tome control de los nombres de dominio fraudulentos
Trabaje con las autoridades competentes
Cuando ocurre un ataque
Servicios Web
Asegurando los servicios Web
Seguridad en la comunicación
Pasando las credenciales
Asegurarse de la frescura del mensaje
Proteger la integridad del mensaje
Protegiendo la confidencialidad del mensaje
Control de acceso
Auditoria
Jerarquía de seguridad en Servicios Web
SOAP
Estándar WS-Security
Bloques de construcción de WS-Security
Implementaciones disponibles
Problemas
Autenticación
Objetivo
Entornos afectados
Temas relevantes de COBIT
Mejores prácticas
Técnicas de autenticación Web comunes
Autenticación fuerte
Autenticación federada
Controles de autenticación en el cliente
Autenticación positiva
Búsquedas de llave múltiple
Verificaciones de referencia (referer)
El navegador recuerda contraseñas
Cuentas predeterminadas
Elección de nombres de usuario
Cambio de contraseñas
Contraseñas cortas
Cifrado de contraseñas reversible
Restablecimiento automático de contraseñas
Fuerza bruta
Recordarme
Tiempo inactivo
Salir
Expiración de cuenta
Auto-registro
CAPTCHA
Autorización
Entorno afectado
Principio de menor privilegio
Listas de Control de Acceso
Rutinas de autorización centralizadas
Matriz de autorización
Tokens de autorización en el lado del cliente
Controlando el acceso a recursos protegidos
Protegiendo el acceso a los recursos protegidos
Manejo de sesiones
Generación permisiva de sesiones
Variables de sesión expuestas
Páginas y credenciales en formularios
Algoritmos criptográficos de sesión débiles
Entropía de credencial de sesión
Regeneración de credenciales de sesión
Falsificación de sesión/Detección de fuerza bruta y/o Bloqueo de sesión
Transmisión de la Credencial de Sesión
Credenciales de sesión durante el cierre de sesión
Secuestro de sesión
Ataques de autenticación de sesión
Ataques de sesión preprogramados
Realizar fuerza bruta en una sesión
Reproducción de la credencial de sesión
Validación de Datos
Plataformas Afectadas
Definiciones
Donde incluir revisiones de integridad
Donde incluir validación
Donde incluir validación de reglas de negocio
Ejemplo – Escenario
Forma incorrecta
Porque es malo esto:
Método Aceptable
El mejor método
Estrategias de validación de datos
Prevenir manipulación de parámetros
Campos ocultos
Cifrar URL
Cifrar HTML
Cadenas de texto cifradas
Delimitadores y caracteres especiales
Interprete de Inyección
Plataformas afectadas
Inyección del Agente de usuario
Desglose de la respuesta HTTP
Mapeo de Objeto Relacional
Canonicalización, Locales y Unicode
Unicode
HTTP Request Smuggling
Manejo de errores, auditoria y generación de logs
Manejo de errores
Ruido
Encubrimiento de pistas
Falsas alarmas
Negación de servicio
Registros de auditoria
Sistema de Ficheros
Temas de COBIT Relevantes
Mejores Prácticas
Navegación Transversal de Directorios
Permisos Inseguros
Indexación Insegura
Ficheros no Mapeados
Ficheros Temporales
Ficheros Antiguos No Referenciados
Inyección de Segundo Orden
Desbordamientos de memoria
desbordamientos de memoria
Desbordamientos de pila
Desbordamiento de montículo
Formato de cadena
Desbordamiento Unicode
Desbordamiento de enteros
Lectura adicional (en inglés)
Interfaces Administrativas
Temas COBIT Relevantes
Los administradores no son usuarios
Autenticación para sistemas de alto valor
Cifrado
Puntos relevantes de COBIT
Funciones de cifrado
Algoritmos de cifrado
Cifrados de flujo
Algoritmos débiles
Almacenamiento de claves
Transmisión insegura de secretos
Tokens de Autenticación Reversibles
Generación segura de UUID
Configuración
Buenas prácticas
Contraseñas por omisión
Cadenas de conexión seguras
Transmisión de red segura
Información cifrada
Seguridad en base de datos
Mantenimiento
Buenas Prácticas
Respuesta ante incidentes de seguridad
Arreglar problemas de seguridad correctamente
Notificaciones de actualización
Comprobar a menudo los permisos
Ataques de denegación de servicio
Puntos relevantes del COBIT
Consumo excesivo de la CPU
Consumo excesivo de disco de Entrada/Salida
Consumo excesivo de entrada/salida en red
Bloqueo de cuentas de usuario
Licencia de Documentación Libre de GNU
PREÁMBULO
APLICABILIDAD Y DEFINICIONES
COPIA LITERAL
COPIADO EN CANTIDADES
MODIFICACIONES
COMBINANDO DOCUMENTOS
COLECCIONES DE DOCUMENTOS
AGREGACIÓN CON TRABAJOS INDEPENDIENTES
TRADUCCIÓN
TERMINACIÓN
FUTURAS REVISIONES DE ESTA LICENCIA
Directivas sobre PHP
Variables globales
register_globals
Inclusión y ficheros remotos
Subida de ficheros
Sesiones
Cross-site scripting (XSS)
Inyección de comandos
Opciones de configuración
Prácticas recomendadas
Sintaxis
Resumen
Cheat Sheets
Cross Site Scripting
0 of .
Results for:
No results containing your search query
P. 1
OWASP Development Guide 2.0.1 Spanish

OWASP Development Guide 2.0.1 Spanish

Ratings: (0)|Views: 13,034|Likes:
Published by Abel Mv

More info:

Published by: Abel Mv on Sep 26, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

02/20/2013

pdf

text

original

You're Reading a Free Preview
Pages 7 to 47 are not shown in this preview.
You're Reading a Free Preview
Pages 54 to 95 are not shown in this preview.
You're Reading a Free Preview
Pages 106 to 198 are not shown in this preview.
You're Reading a Free Preview
Pages 205 to 311 are not shown in this preview.

Activity (11)

You've already reviewed this. Edit your review.
1 hundred reads
1 thousand reads
Fabiola Caminos liked this
fukumisha liked this
Nicolas Marini liked this
Andrés Duque liked this
Silwers Cortez R liked this
chepen1978 liked this

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->