OWASP

I.

QU ES OWASP?

Es una comunidad abierta y sin fines de lucro que proporciona recursos gratuitos para la comunidad soportada a travs de patrocinios, OWASP promueve el desarrollo de software seguro orientada a la presentacin de servicios orientados a la web. Se centra principalmente en el back-end ms que en cuestiones de diseo web. II. QU OFRECE OWASP? Materiales de Educacin OWASP Top 10 Gua de Desarrollo OWASP Gua de Testing OWASP Gua OWASP para Aplicaciones Web Seguras Muchos ms Software WebGoat WebScarab ESAPI Muchos ms Captulos Locales Comunidades interesadas en Seguridad de Aplicaciones Desarrollo de nuevos proyectos Posibilidad de utilizar las herramientas y colaboradores disponibles para generar nuevos proyectos

III.

OWASP TOP 10 El objetivo del proyecto Top 10 es crear conciencia sobre la seguridad en aplicaciones mediante la identificacin de algunos de los riesgos ms crticos que enfrentan las organizaciones. Qu son los riesgos de seguridad en aplicaciones? Los atacantes pueden potencialmente usar diferentes rutas a travs de una aplicacin para causar dao en la organizacin. Cada una de estas rutas representa un riesgo que puede, o no, ser lo suficientemente serio como para merecer atencin.

Para determinar el riesgo para la organizacin, se puede evaluar la probabilidad asociada con cada agente de amenaza, vector de ataque y debilidad de seguridad y combinarla con una estimacin del impacto tcnico y de negocios en la organizacin. Juntos, estos factores determinan el riesgo total.

IV.

QU HA CAMBIADO DEL 2007 AL 2010?

a. Inyeccin Las fallas de inyeccin ocurren cuando una aplicacin enva datos no confiables a un intrprete. Las fallas de inyeccin son muy prevalentes, particularmente en cdigo legado, el cual es frecuentemente encontrado en consultas SQL, LDAP, XPath, comandos de SO, argumentos de programa, etc. Las fallas de inyeccin son fcil de descubrir cuando se examina el cdigo, pero ms difcil a travs de testeos. Los scanners y fuzzers pueden ayudar a los atacantes a descubrir estas fallas. Una falla de inyeccin puede resultar en perdida o corrupcin de datos, falta de integridad, o negacin de acceso. Una falla de inyeccin puede algunas veces llevar a la toma de posesin completa del servidor. b. Secuencia de comandos en Sitios Cruzados XSS es la falla de seguridad ms prevalente en aplicaciones web. Las fallas XSS ocurren cuando una aplicacin incluye datos suministrados por el usuario en una pgina enviada al navegador sin ser el contenido apropiadamente validado o escapado. Existen tres tipos conocidos de fallas XSS: 1) Almacenados, 2) Reflejados, and 3) XSS basado en DOM. La deteccin de la mayora de las fallas XSS es relativamente fcil a travs de pruebas de anlisis de cdigo. Los atacantes pueden ejecutar secuencias de comandos en el navegador de una victima para secuestrar las sesiones de usuario, destruir sitios web, insertar cdigo hostil, redirigir usuarios, instalar cdigo malicioso en el navegador de la vctima, etc.

c. Perdida de Autentificacin y Gestin de sesiones Los desarrolladores a menudo crean esquemas propios de autenticacin o gestin de las sesiones, pero conseguir que sean correctos es complicado. Por ello, a menudo estos esquemas propios contienen vulnerabilidades en las secciones de cierre de sesin, gestin de contraseas, tiempo de desconexin, funcin de recordar contrasea, pregunta secreta, actualizacin de cuenta, etc. Encontrar estas vulnerabilidades puede ser difcil por ser nica cada implementacin. Estas vulnerabilidades podran permitir que algunas o todas las cuentas sean atacadas. Una vez el ataque resulte satisfactorio, el atacante podra realizar cualquier accin que la vctima pudiese. Las cuentas privilegiadas son los objetivos prioritarios. d. Referencia directa insegura a objetos Una referencia directa a objetos (direct object reference) ocurre cuando un programador expone una referencia hacia un objeto interno de la aplicacin, tales como un fichero, directorio, registro de base de datos, o una clave tal como una URL o un parmetro de formulario Web. Un atacante podra manipular este tipo de referencias en la aplicacin para acceder a otros objetos sin autorizacin. e. Falsificacin de peticiones en sitios cruzados Un ataque CSRF fuerza al navegador validado de una vctima a enviar una peticin a una aplicacin Web vulnerable, la cual entonces realiza la accin elegida por el atacante a travs de la vctima. CSRF puede ser tan poderosa como la aplicacin siendo atacada. f. Revelacin de Informacin y Gestin Incorrecta de Errores Las aplicaciones pueden revelar, involuntariamente, informacin sobre su configuracin, su funcionamiento interno, o pueden violar la privacidad a travs de una variedad de problemas. Los atacantes pueden usar esta vulnerabilidad para obtener datos delicados o realizar ataques ms serios.

g. Almacenamineto criptografico Las aplicaciones Web raramente utilizan funciones criptogrficas adecuadamente para proteger datos y credenciales. Los atacantes usan datos dbilmente protegidos para llevar a cabo robos de identidad y otros crmenes, tales como fraude de tarjetas de crdito.

h. Falla de restriccin de acceso a URL Frecuentemente, una aplicacin solo protege funcionalidades delicadas previniendo la visualizacin de enlaces o URLs a usuarios no autorizados. Los atacantes utilizan esta debilidad para acceder y llevar a cabo operaciones no autorizadas accediendo a esas URLs directamente. i. Comunicaciones inseguras Las aplicaciones frecuentemente fallan al cifrar trfico de red cuando es necesario proteger comunicaciones delicadas Metodologa Las aplicaciones frecuentemente fallan al cifrar trfico de red cuando es necesario proteger comunicaciones delicadas