Professional Documents
Culture Documents
Aplicaciones 3.0.1
Versin en espaol: Abril de 2017
AGRADECIMIENTOS 5
SOBRE EL ESTNDAR 5
COPYRIGHT Y LICENCIA 5
INTRODUCCIN 7
QU HAY DE NUEVO EN LA VERSIN 3.0? 7
CASO DE ESTUDIOS 15
CASO DE ESTUDIO 1: ASVS COMO GUA DE PRUEBA DE SEGURIDAD 15
ESTUDIO DE CASO 2: UN SDLC SEGURO 16
APNDICE B: GLOSARIO 69
ANEXO C: REFERENCIAS 73
Copyright y licencia
En la versin 3.0, hemos aadido varias secciones nuevas, incluyendo configuracin, Web
Services, aplicaciones cliente, para hacer la norma ms aplicable a aplicaciones modernas,
comnmente responsive, con amplio uso de interfaces de usuario HTML5 o mvil, llamando
a un conjunto comn de Web Services REST, utilizando autenticacin SAML.
Hemos reducido tambin las duplicaciones en la norma, por ejemplo, para asegurarnos de
que un desarrollador mvil no necesite re-testear los mismos elementos varias veces.
Por ltimo, buscamos ayuda en la comunidad con el fin de generar sesiones para la revisin
por pares durante las conferencias de AppSec EU 2015 y una sesin final de trabajo en
AppSec USA 2015 con el fin de incluir una enorme cantidad de comentarios de la
comunidad. Durante la revisin, si el significado de un control fue cambi sustancialmente,
se cre un nuevo control dejando el antiguo como obsoleto. Hemos deliberadamente
optado por no volver a utilizar los requisitos de control obsoletos, ya que podra ser una
fuente de confusin. Hemos proporcionado una asignacin completa de lo que ha cambiado
en el apndice A.
Cada nivel ASVS contiene una lista de requerimientos de seguridad. Cada uno de estos
requisitos pueden tambin corresponderse a funcionalidades especficas de seguridad y
capacidades que deben construirse por los desarrolladores de software.
Nivel 1: Oportunista
Este nivel es apropiado tpicamente para aplicaciones donde se requiere escasa confianza
en el uso correcto de los controles de seguridad, o para proporcionar un anlisis rpido a un
conjunto de aplicaciones de una organizacin, o asistir en la elaboracin de una lista de
requerimientos de seguridad con prioridades como parte de un esfuerzo de mltiples fases.
Los controles de nivel 1 pueden ser asegurados automticamente por herramientas o
manualmente sin acceso al cdigo fuente. Consideramos a nivel 1 como el mnimo
requerido para todas las aplicaciones.
Nivel 2: Estndar
Las amenazas para aplicaciones de nivel 2 por lo general estn motivados por atacantes los
cuales se centran en objetivos concretos, utilizando herramientas y tcnicas efectivas en el
descubrimiento y explotacin de vulnerabilidades dentro de las aplicaciones.
Nivel 3: Avanzado
El nivel 3 en ASVS es el ms alto nivel de verificacin dentro de ASVS. Este nivel est
reservado normalmente para aplicaciones que requieren niveles significativos de
Aunque existen criterios nicos y diferencias en las amenazas para cada sector, una
amenaza comn a todos los segmentos o industrias, son los ataques oportunistas. Estos
buscarn cualquier aplicacin vulnerable fcilmente explotable. Por esta razn el nivel 1 se
recomienda para toda aplicacin. Se sugiere este punto de partida para manejar los riesgos
ms fciles de encontrar. Tambin se recomienda a las organizaciones observar
detenidamente sus riesgos especficos basados en la naturaleza de su negocio.
Por otro lado, el nivel 3 de ASVS se encuentra reservado para aquellos casos en que se
podra poner en peligro la seguridad humana o cuando una violacin a la aplicacin podra
impactar seriamente y por completo a la organizacin.
En una Universidad privada en Utah, Estados Unidos, el equipo rojo del campus utiliza el
OWASP ASVS como gua al realizar tests de penetracin a aplicaciones. Es utilizado a lo largo
del proceso de pruebas, desde la planificacin inicial, definiendo reuniones de orientacin
para las actividades de la prueba y como una manera de enmarcar las conclusiones del
informe final entregado a los clientes. El equipo rojo tambin organiza capacitaciones para
el equipo utilizando el ASVS.
El equipo rojo del Campus realiza tests de penetracin de redes y aplicaciones para varios
departamentos del campus como parte de la estrategia de seguridad de la informacin
general de la Universidad. Durante las reuniones de planificacin iniciales, los clientes
suelen ser reticentes a dar autorizacin para que su aplicacin sea puesta a prueba por un
equipo de estudiantes. Al presentar el ASVS y explicando a los interesados que las
actividades de pruebas son guiadas por esta estndar, y que el informe final incluir cmo
se comporta la aplicacin en comparacin con el estndar, muchas preocupaciones quedan
inmediatamente aclaradas. Luego, el ASVS es utilizado durante la evaluacin para ayudar a
determinar cunto tiempo y esfuerzo se utilizar en la prueba. Mediante el uso de los
niveles de verificacin predefinidas de la ASVS, el equipo rojo explica el enfoque basado en
riesgo de las pruebas a realizar. Esto ayuda al cliente, los actores y el equipo para llegar a un
acuerdo sobre un alcance apropiado para la aplicacin en cuestin.
Una vez que el test comienza, el equipo rojo utiliza el ASVS para organizar actividades y
dividir la carga de trabajo. Al realizar el seguimiento de los requisitos de verificacin que han
sido probados y que se encuentran pendientes, el gerente de proyecto para el equipo puede
observar fcilmente el avance de las pruebas. Esto conduce a mejorar la comunicacin con
los clientes y permite al jefe de proyecto gestionar mejor los recursos. Dado que el equipo
rojo est compuesto principalmente de estudiantes, la mayora de los miembros del equipo
tienen mltiples demandas de su tiempo proveniente de diferentes cursos. Las tareas bien
definidas, basadas en los requisitos de verificacin individual o categoras totales, ayudan a
los miembros del equipo a saber exactamente qu debe analizarse y que estos puedan
proporcionar estimaciones precisas sobre cunto tiempo tardarn para completar las
tareas. La actividad de informar tambin se beneficia de la clara organizacin del ASVS,
debido a que los miembros del equipo pueden reportar sus hallazgos antes de continuar
con el siguiente punto del estndar, generando el informe de forma simultnea con la
ejecucin de las pruebas de penetracin.
El equipo rojo organiza el informe final alrededor de la ASVS, informando del estado de cada
requisito de verificacin y proporcionando ms detalles cuando sea apropiado. Esto le da
una idea a clientes e interesados de cmo se encuentra su aplicacin con respecto al
estndar, lo cual es extremadamente valioso desde el punto de vista del seguimiento pues
permite ver cmo ha mejorado o empeorado la seguridad durante un transcurso de tiempo.
Finalmente, el entrenamiento del equipo rojo ha mejorado con la adopcin del ASVS.
Anteriormente, los entrenamientos semanales se centraban sobre un tema elegido por el
equipo o gerente del proyecto. stos eran seleccionados basados en las peticiones de los
miembros del equipo y las necesidades percibidas. La formacin basada en estos criterios
tena el potencial de ampliar las habilidades de los miembros del equipo, pero no
necesariamente se relacionaban con las actividades bsicas del equipo rojo. En otras
palabras, el equipo no consigua mejorar significativamente en pruebas de penetracin.
Despus de adoptar el ASVS, el entrenamiento del equipo, se centra ahora en cmo probar
los requisitos de verificacin individual. Esto ha llevado a una mejora significativa y medible
en las habilidades de los miembros individuales del equipo y la calidad de los informes
finales.
La compaa "start-up" utiliza el ASVS para generar casos de uso e historias para cuestiones
de seguridad funcional, tales como la mejor manera de implementar la funcionalidad para
iniciar la sesin en la aplicacin. La compaa "start-up" usa ASVS de forma diferente en
comparacin a la mayora - ellos tratan de ver a travs de ASVS, recogiendo los requisitos
que se adhieren al sprint actual, y lo agregan directamente a la acumulacin del sprint si es
un requisito funcional, o como una limitacin a casos de uso existentes si no son
funcionales. Por ejemplo, la adicin de la autenticacin TOTP (Contrasea de un solo uso
basada en tiempo), junto con las polticas de contraseas y servicio web que de deteccin
de ataques de fuerza bruta. En los sprints futuros, los requisitos adicionales se seleccionarn
basados en el criterio "justo a tiempo", o que "no se va a necesitar".
Los desarrolladores utilizan el ASVS como una checklist de revisin por pares, lo que ayuda a
que cdigo inseguro no sea ingresado en el repositorio, y en retrospectiva, desafiar a los
desarrolladores que hayan ingresado algn cdigo en el repositorio que contenga una nueva
caracterstica, que hayan considerado los requisitos del ASVS y si hay algo se puede mejorar
o reducir en los sprints futuros.
Por ltimo, los desarrolladores utilizan la ASVS como parte de su unidad de seguridad de
verificacin automatizada y conjuntos de pruebas de integracin, casos de abuso y casos de
Esto no debe inhibir organizaciones para ofrecer dichos servicios de garanta, con tal de que
no pretendan proveer una certificacin oficial de OWASP.
Histricamente, los test de penetracin y las revisiones de cdigo han incluido hallazgos
por excepcin. es decir, el informe final solo se compone de defectos de seguridad. Una
organizacin certificadora debe incluir en cualquier informe cual fue el alcance de la
verificacin (especialmente si un componente clave est fuera de alcance, como la
autenticacin SSO), un resumen de resultados de la verificacin, incluyendo las pruebas
exitosas y las fallidas, con indicaciones claras de cmo resolver las fallidas.
Es posible realizar una prueba de penetracin manual y verificar todos los puntos del nivel
L1 sin necesidad de acceso al cdigo fuente, aunque esta no es una prctica muy utilizada.
Para el nivel L2 se requiere al menos algn acceso a los desarrolladores, documentacin,
cdigo y acceso autenticado al sistema. Una cobertura completa de pruebas de penetracin
del nivel 3 no es posible, como la mayora de los problemas adicionales incluyen revisin de
configuracin del sistema, revisin de cdigo malicioso, modelado de amenazas y otros
artefactos de prueba de penetracin.
Muchas organizaciones pueden beneficiarse de la adopcin del ASVS, eligiendo uno de los
tres niveles, o utilizar ASVS y refinar nicamente lo que se requiere para cada nivel de riesgo
de la aplicacin en un dominio especfico. Recomendamos este tipo de combinacin o
adaptacin del ASVS original mientras se mantiene la trazabilidad, por lo que si una
aplicacin ha pasado requisito 4.1, esto significa lo mismo tanto para el refinamiento como
para el estndar a medida que ste evolucione.
El ASVS est diseado para ser altamente verificable, con la sola excepcin de requisitos de
arquitectnicos y de cdigo malicioso. A travs de la generacin de pruebas unitarias y de
integracin (tanto especficas como de fuzzing), la aplicacin se aproxima a auto verificase y
validarse con cada construccin. Por ejemplo, se pueden generar pruebas adicionales para
el paquete de pruebas para el control de acceso, para testear el parmetro nombre de
usuario para nombres de usuario comunes, enumeracin de cuenta, ataques de fuerza
Estndar de Verificacin de Seguridad en Aplicaciones 3.0.1 19
bruta, inyeccin LDAP y SQL y XSS. Asimismo, se deben incluir pruebas al parmetro de
contrasea para las ms comunes, su longitud, inyeccin de byte nulo, eliminacin del
parmetro, XSS, enumeracin de cuentas y mucho ms.
ASVS tambin puede utilizarse para definir caractersticas de software seguro. Muchos
cursos de codificacin segura son simplemente cursos ticos de hacking con un ligero
toque de consejos sobre codificacin. Esto no ayuda a los desarrolladores de sistemas. En
cambio, cursos de desarrollo seguro pueden usar la gua ASVS con un fuerte enfoque en los
controles pro-activos en esta, en lugar de cosas negativas del OWASP Top 10.
https://www.owasp.org/index.php/OWASP_Security_Knowledge_Framework
Para entrenar desarrolladores en la escritura de cdigo seguro - El proyecto SKF es una
aplicacin completamente gratis escrita en Python-Flask que utiliza el estndar de
verificacin de seguridad OWASP para aplicaciones, pensada para entrenar en la escritura
de cdigo seguro desde su diseo.
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
OWASP Zed (ZAP) es una herramienta de fcil uso e integrada para la bsqueda de
vulnerabilidades en aplicaciones web. Est diseada tanto para ser utilizado por personas
con amplia experiencia en seguridad, as como desarrolladores y testers funcionales que son
nuevos en pruebas de penetracin. ZAP ofrece escaneos automatizados e integra un
conjunto de herramientas que permiten encontrar vulnerabilidades de seguridad
manualmente.
OWASP Cornucopia
https://www.owasp.org/index.php/OWASP_Cornucopia
Cornucopia de OWASP es un mecanismo en forma de un juego de cartas que ayudar a
equipos de desarrollo de software a identificar requisitos de seguridad utilizado
metodologas giles y procesos de desarrollo formales. Es un lenguaje agntico de la
tecnologa y la plataforma. El contenido de Cornucopia fue seleccionado en base a la
estructura de la Gua Prctica de Codificacin Segura de OWASP - gua de referencia rpida
(SCP), considerando adicionalmente el estndar de verificacin de seguridad de OWASP
para aplicaciones, la gua de pruebas de OWASP y los principios de programacin segura de
David Rook.
V2. Autenticacin
V10. Comunicaciones
V17. Mvil
Asegurar que una aplicacin verificada satisfaga los siguientes requisitos de alto nivel:
Nivel 1, los componentes de la aplicacin son identificados y tienen una razn de ser.
Nivel 2, se ha definido la arquitectura y el cdigo se adeca a sta.
Nivel 3, la arquitectura y el diseo son los indicados, se utilizan y resultan eficaces.
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Autenticacin es el acto de establecer o confirmar, algo (o alguien) como autntico, esto es,
que lo que reclama sobre aquello es verdadero. Se debe asegurar que la aplicacin satisface
los siguientes requisitos de alto nivel:
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Uno de los componentes bsicos de cualquier aplicacin web es el mecanismo por el cual
controla y mantiene el estado de un usuario al interactuar con sta. Esto se refiere a manejo
de sesiones y se define como el conjunto de todos los controles que rigen el estado
completo de interaccin entre un usuario y la aplicacin basada en la web.
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Autorizacin es el concepto de permitir acceso a los recursos nicamente a aquellos que les
ha sido permitido utilizarlos. Se debe asegurar que la aplicacin verificada satisface los
siguientes requisitos de alto nivel:
Requisitos
# Descripcin 1 2 3 Desde
Referencias
. Se debe asegurar que la aplicacin verificada satisface los siguientes requisitos de alto
nivel:
Requisitos
Desd
# Descripcin 1 2 3
e
Referencias
Asegure que una aplicacin verificada satisfaga los siguientes requisitos de alto nivel:
Que todos los mdulos criptogrficos fallen de forma segura y que los errores sean
gestionados correctamente.
Que se utilice un generador de nmeros aleatorios adecuado cuando se requiere la
aleatoriedad.
Que el acceso a claves se gestiona de forma segura.
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Los registros de bitcora de alta calidad a menudo contienen datos confidenciales y tambin
deben ser protegidos segn las leyes de privacidad de datos o directivas. Esto debe incluir:
Si los registros contienen datos privados o confidenciales, cuya definicin vara de pas a
pas, stos se convierten en parte de la informacin sensible y por lo tanto resulta muy
atractiva para los atacantes.
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Las aplicaciones web deben asumir que todos los dispositivos de un usuario puedan ser
comprometidos de alguna manera. Cuando una aplicacin transmite o almacena
informacin sensible dentro de dispositivos inseguros, como equipos compartidos,
telfonos y tabletas, la aplicacin es responsable de que los datos almacenados en estos
dispositivos sean cifrados y no pueden ser fcilmente o ilcitamente obtenidos, alterados o
divulgados.
Requisitos
# Descripcin 1 2 3 Desde
Se debe asegurar que la aplicacin verificada satisfaga los siguientes requisitos de alto nivel:
Requisitos
# Descripcin 1 2 3 Desde
10.11 Verificar que los encabezados HTTP Strict Transport Security 3.0
sean incluidos en todas las peticiones y para todos los
subdominios, como Strict-Transport-Security: max-age =
15724800; includeSubdomains
10.12 Verificar que la URL del sitio web de produccin haya sido 3.0
enviada a una lista precargada de dominios de Strict
Transport Security(STS) mantenidos por proveedores de
navegadores web. Para obtener ms informacin, vea las
referencias abajo.
10.13 Asegurar que foward secrecy se est utilizando para mitigar 3.0
que atacantes pasivos puedan grabar el trfico.
Referencias
Asegure que la aplicacin verificada satisfaga los siguientes requisitos de alto nivel:
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Asegure que la aplicacin verificada satisfaga los siguientes requisitos de alto nivel:
El cdigo malicioso es extremadamente raro difcil de detectar. La revisin manual lnea por
lnea del cdigo puede ayudar a encontrar bombas lgicas, pero incluso el ms
experimentado revisor de cdigo tendr que esforzarse para encontrar cdigo malicioso
aunque sepa que existe.
Requisitos
# Descripcin 1 2 3 Desde
Referencias
http://www.dwheeler.com/essays/apple-goto-fail.html
Asegure que la aplicacin verificada satisfaga los siguientes requisitos de alto nivel:
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Asegure que la aplicacin verificada satisfaga los siguientes requisitos de alto nivel:
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Esta seccin contiene controles especficos para aplicaciones mviles. Estos controles han
sido de-duplicados de la versin 2.0, por lo que deben tomarse en conjunto con el resto de
las secciones de los niveles correspondientes de Verificacin ASVS.
Deben tener el mismo nivel de controles de seguridad tanto en el cliente mvil como
en el servidor, mediante la aplicacin de controles de seguridad en un entorno de
confianza.
Activos de Informacin sensible almacenados en el dispositivo debe realizarse de un
modo seguro.
Todos los datos sensibles transmitidos desde el dispositivo deben ser hechos
teniendo en mente la seguridad en la capa de transporte.
Requisitos
# Descripcin 1 2 3 Desde
Referencias
Asegrese de que la aplicacin verificada, de utilizar servicios web REST o SOAP posean:
Requisitos
# Descripcin 1 2 3 Desde
18.5 Verificar que los servicios web basados en SOAP son 3.0.1
compatibles con el perfil bsico de
interoperabilidad de servicios Web (WS-I) como
mnimo. Esencialmente, eso implica compatibilidad
con cifrado TLS.
Referencias
Requisitos
# Descripcin 1 2 3 Desde
Referencias
2.5 Verificar que todos los controles de Combinado 3.0 Generalizado para incluir
autenticacin (incluyendo las bibliotecas que todos los controles de
requieren servicios de autenticacin seguridad y se traslad a 1.10
externos) tengan una implementacin
centralizada.
2.10 Verificar que autenticacin sea requerida Obsoleto 2.0 Se quita el control debido a
antes de que se permitan cualquier que la re- autenticacin se
operacin sensible especficas de la observa raramente.
aplicacin.
2.14 Verificar que todas las credenciales de Actualizado 2.0 Se convirti en V2.21
autenticacin para acceder a servicios
externos a la aplicacin se encuentren
cifradas y almacenadas en un lugar protegido
(no en cdigo fuente).
2.15 Verificar que todo el cdigo de aplicacin o Se traslad 2.0 Se traslad a V13 - cdigo
uso de controles de autenticacin no es este malicioso
afectado por cualquier cdigo malicioso.
2.30 Verificar que si la aplicacin permite a los Obsoleto 3.0.1 Muy ambiguo para ser
usuarios autenticarse, se provee un probado, de hecho, es un
mecanismo de autenticacin seguro resumen de los
requerimientos de V2
3.13 Verificar que todo el cdigo de aplicacin o Se traslad 2.0 Se traslad a V13 - cdigo
uso de controles de gestin de sesin no se malicioso
encuentre afectado por cdigo malicioso
3.14 Verificar que los tokens de sesin Actualizado 3.0 Se traslad a 3.13
autenticados usando cookies estn
protegidos por el uso de "HttpOnly".
3.15 Verificar que los tokens de sesin Actualizado 3.0 Se traslad a 3.13
autenticados usando cookies estn
protegidos con el atributo "secure".
4.2 Verificar que los usuarios slo pueden Actualizado 3.0 Contemplado en 4.1
acceder a URLs seguras que poseen una
autorizacin especfica.
4.3 Verificar que los usuarios slo puedan Actualizado 3.0 Contemplado en 4.1
acceder a los archivos de datos asegurados
para los que poseen una autorizacin
especfica.
4.13 Compruebe que las limitaciones en entrada y Se traslad 3.0 Se traslad a la lgica de
acceso impuestas por reglas de negocios negocio de V15
sobre la aplicacin (como lmites de
transacciones diarias o secuenciacin de las
tareas) no sean sobrepasadas.
4.15 Verificar que todo el cdigo de aplicacin o Se traslad 2.0 Se traslad a controles
uso de controles de acceso no se vea maliciosos V13
afectado por cualquier cdigo malicioso.
5.2 Verificar que un patrn de validacin positivo Obsoleto 2.0 Removido debido a que es
es definido y aplicado a todas las entradas de demasiado difcil de aplicar
datos particularmente para
entradas de texto de forma
libre
5.4 Verificar que se haya especificado un Obsoleto 3.0 Removido debido a que es
conjunto de caracteres como UTF-8, para demasiado difcil de aplicar en
todas las fuentes de entrada la mayora de los lenguajes de
programacin
5.7 Verificar que todos los fallos de validacin Obsoleto 3.0 Removido, debido a que
de entrada se registren. creara muchos registros
5.8 Verificar que toda entrada de datos es Obsoleto 3.0 Removido ya que el tipo 1 JSP
cannica para todos los decodificadores tecnologa especfica no es un
downstream o intrpretes antes de la problema para los marcos de
validacin. desarrollo ms modernos
5.9 Verificar que todos los controles de Se traslad 2.0 Se traslad a controles
validacin de entrada dedatos no sean maliciosos V13
afectados por cualquier cdigo malicioso
5.14 Verificar que el entorno de ejecucin no es Combinado 3.0 Se fusion con V5.13
susceptible a las inyecciones de XML o que
controles de seguridad impidan inyecciones
de XML
5.19 Verificar que para cada tipo de Combinado 3.0 Generalizado para incluir
codificacin/escape de salida realizado por la todos los controles de
aplicacin, haya un control de seguridad seguridad y se traslad a 1.10
nico para ese tipo de salida para el destino
intencionado
7.1 Verificar que todas las funciones Obsoleto 3.0 Muchas de las aplicaciones
criptogrficas utilizadas para proteger modernas de respuesta
secretos del usuario de la aplicacin se rpida y mvil incluyen esto
ejecutan del lado del servidor por diseo
7.3 Verificar que el acceso a cualquier secreto(s) Se traslad 3.0 Se traslad a V2.29
maestro est protegido de accesos no
autorizados (un secreto maestro es una
credencial de aplicacin almacenada como
texto simple en el disco que se utiliza para
proteger el acceso a la informacin de
configuracin de seguridad).
7.4 Verificar que los hashes de contraseas son Se traslad 2.0 Se traslad a V2.13
salados cuando sean creados
7.5 Verificar que se registran en una bitcora las Obsoleto 2.0 Creacin de registros log
fallas de mdulo criptogrfico innecesarios que no son
revisados nunca es
contraproducente
8.3 Verificar que todos los controles de registro Se traslad 3.0 Se convirti en un control
se ejecuten en el servidor. arquitectnico ms genrico
en V1.13
8.9 Verifique que haya una implementacin Se traslad 3.0 Se convirti en un control
nica de registro de bitcora a nivel de la arquitectnico ms genrico
aplicacin que sea utilizada por el software. en V1.13
8.11 Verificar que una herramienta de anlisis del Obsoleto 3.0 Removido ya que no requiere
registros de bitcora se encuentre disponible de software seguro
al analista el cual le permita buscar eventos
basados en combinaciones de criterios de
bsqueda en todos los campos en el formato
de registro log compatibles con este sistema.
8.12 Verificar que todo el cdigo de la aplicacin o Se traslad 2.0 Se traslad a controles
uso de controles de registro de bitcora y maliciosos V13
control de errores no sea afectado por
cualquier cdigo malicioso.
8.15 Verificar que el registro de bitcora se realice Obsoleto 3.0 Eliminado debido a que es
antes de ejecutar la transaccin. Si el registro control demasiado detallado
de bitcora no tuvo xito (p. ej. disco que slo sera aplicable a un
completo, permisos insuficientes) la pequeo porcentaje de todas
aplicacin falla de forma segura. Esto es, las applicaciones
para cuando la integridad y no repudio son
imprescindibles.
10.2 Verificar que conexiones TLS no caigan de Combinado 3.0 Se fusion con 10.3
nuevo a una conexin insegura HTTP
V11.1 Obsoleto
V11.4 Obsoleto
V11.5 Obsoleto
V11.6 Obsoleto
V11.7 Obsoleto
V11.8 Obsoleto
V11.4 Obsoleto
V13.1 Obsoleto
V13.2 Obsoleto
V13.3 Obsoleto
V13.4 Obsoleto
V13.5 Obsoleto
V13.6 Obsoleto
V13.7 Obsoleto
V13.8 Obsoleto
V13.9 Obsoleto
15.11 Verificar que la aplicacin se protege de los Duplicar 3.0 Requisito de duplicados.
riesgos asociados con la suplantacin de Capturado por V1.6
identidad, manipulacin, repudio, revelacin
de informacin y elevacin de privilegios
17.1 Verificar que el cliente valide certificados SSL Obsoleto 3.0 Requisito duplicado. El
requisito general se
encuentra ya capturado por
V10.
Obsoleto
V17.7
Obsoleto
V17.8
Obsoleto
V17.10
Obsoleto
V17.11
Obsoleto
V17.12
Obsoleto
V17.13
Obsoleto
V17.14
Obsoleto
V17.15
Obsoleto
V17.16
Obsoleto
V17.17
Obsoleto
V17.18
Obsoleto
V17.19
Obsoleto
V17.20
Obsoleto
V17.22
Obsoleto
V17.24
Del mismo modo, los siguientes sitios web probablemente sean de utilidad para los
usuarios/adoptantes de esta norma:
6.5.1 fallas de inyeccin, 5.11, 5.12, 5.13, 8.14, 16.2 Correlacin exacta.
particularmente de inyeccin SQL.
Tambin se consideran fallas de
inyeccin de comandos del
sistema operativo y LDAP, XPath,
as como otras fallas de inyeccin
6.5.7 Cross-site scripting (XSS) 5.16, 5.20, 5.21, 5.24, 5.25, 5.26, ASVS desglosa XSS en varios
5.27, 11.4,11.15 requisitos destacando la
complejidad de la defensa XSS, en
especial para aplicaciones legadas