{"id":6144,"date":"2013-12-13T21:51:18","date_gmt":"2013-12-13T20:51:18","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=6144"},"modified":"2013-12-13T22:14:55","modified_gmt":"2013-12-13T21:14:55","slug":"los-10-riesgos-mas-criticos-en-aplicaciones-web-guia-owasp","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/los-10-riesgos-mas-criticos-en-aplicaciones-web-guia-owasp\/","title":{"rendered":"Los 10 riesgos m\u00e1s cr\u00edticos en aplicaciones Web. Gu\u00eda OWASP"},"content":{"rendered":"

El proyecto abierto de seguridad en aplicaciones Web (OWASP<\/strong> por sus siglas en ingl\u00e9s) es una comunidad abierta dedicada a facultar a las organizaciones a desarrollar, adquirir y mantener aplicaciones que pueden ser con\ufb01ables.<\/p>\n

La fundaci\u00f3n OWASP es una entidad sin \u00e1nimo de lucro para asegurar el \u00e9xito a largo plazo del proyecto. Casi todos los asociados con OWASP son voluntarios, incluyendo la junta directiva de OWASP, comit\u00e9s globales, l\u00edderes de cap\u00edtulos, los l\u00edderes y miembros de proyectos. Apoyan la investigaci\u00f3n innovadora sobre seguridad a trav\u00e9s de becas e infraestructura.<\/p>\n

<\/p>\n

Comencemos …<\/strong><\/span><\/p>\n


\nOWASP Top 10 de Riesgos de Seguridad en Aplicaciones<\/strong><\/span><\/p>\n

A1- Inyecci\u00f3n<\/strong><\/p>\n

Las fallas de inyecci\u00f3n, tales como SQL, OS, y LDAP, ocurren cuando datos no con\ufb01ables son enviados a un interprete como parte de un comando o consulta. Los datos hostiles del atacante pueden enga\u00f1ar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados.<\/p>\n

A2 \u2013 P\u00e9rdida de Autenticaci\u00f3n y Gesti\u00f3n de Sesiones<\/strong><\/p>\n

Las funciones de la aplicaci\u00f3n relacionadas a autenticaci\u00f3n y gesti\u00f3n de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contrase\u00f1as, claves, token de sesiones, o explotar otras fallas de implementaci\u00f3n para asumir la identidad de otros usuarios.<\/p>\n

A3 \u2013 Secuencia de Comandos en Sitios\u00a0Cruzados (XSS)<\/strong><\/p>\n

Las fallas XSS ocurren cada vez que una aplicaci\u00f3n toma datos no con\ufb01ables y los env\u00eda al navegador web sin una validaci\u00f3n y codi\ufb01caci\u00f3n apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.<\/p>\n

A4 \u2013 Referencia Directa Insegura a \u00a0Objetos<\/strong><\/p>\n

Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementaci\u00f3n interno, tal como un \ufb01chero, directorio, o base de datos. Sin un chequeo de control de acceso u otra protecci\u00f3n, los atacantes pueden manipular estas referencias para acceder datos no autorizados.<\/p>\n

A5 \u2013 Con\ufb01guraci\u00f3n de Seguridad Incorrecta<\/strong><\/p>\n

Una buena seguridad requiere tener de\ufb01nida e implementada una con\ufb01guraci\u00f3n segura para la aplicaci\u00f3n, marcos de trabajo, servidor de aplicaci\u00f3n, servidor web, base de datos, y plataforma. Todas estas\u00a0con\ufb01guraciones deben ser de\ufb01nidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librer\u00edas de c\u00f3digo utilizadas por la aplicaci\u00f3n.<\/p>\n

A6 \u2013 Exposici\u00f3n de datos sensibles<\/strong><\/p>\n

Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como n\u00fameros de tarjetas de cr\u00e9dito o credenciales de autenticaci\u00f3n. Los atacantes pueden robar o modi\ufb01car tales datos para llevar a \u00a0cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de m\u00e9todos de protecci\u00f3n adicionales tales como el cifrado de datos, as\u00ed como tambi\u00e9n de precauciones especiales en un intercambio\u00a0de datos con el navegador.<\/p>\n

A7 \u2013 Ausencia de Control de Acceso a Funciones
\n<\/strong><\/p>\n

La mayor\u00eda de aplicaciones web veri\ufb01can los derechos de acceso a nivel de funci\u00f3n antes de hacer visible en la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan veri\ufb01car el control de acceso en el servidor cuando se accede a cada funci\u00f3n. Si las solicitudes de acceso no se veri\ufb01can, los atacantes podr\u00e1n realizar peticiones sin la autorizaci\u00f3n apropiada.<\/p>\n

A8 – Falsi\ufb01caci\u00f3n de Peticiones en Sitios\u00a0Cruzados (CSRF)\u00a0<\/strong><\/p>\n

Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petici\u00f3n HTTP falsi\ufb01cado, incluyendo la sesi\u00f3n del usuario y cualquier otra informaci\u00f3n de autenticaci\u00f3n incluida autom\u00e1ticamente, a una aplicaci\u00f3n web vulnerable. Esto permite al atacante forzar al navegador de la victima para generar pedidos que la aplicaci\u00f3n vulnerable piensa son peticiones leg\u00edtimas provenientes de la victima.<\/p>\n

A9 \u2013 Utilizaci\u00f3n de componentes con vulnerabilidades conocidas<\/strong><\/p>\n

Algunos componentes tales como las librer\u00edas, los frameworks y otros m\u00f3dulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podr\u00eda facilitar la intrusi\u00f3n\u00a0en el servidor o una perdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicaci\u00f3n y permiten ampliar el rango de posibles ataques e impactos.<\/p>\n

A10 \u2013 Redirecciones y reenvios no validados<\/strong><\/p>\n

Las aplicaciones web frecuentemente redirigen y reenv\u00edan a los usuarios hacia otras p\u00e1ginas o sitios web, y utilizan datos no con\ufb01ables para determinar la p\u00e1gina de destino. Sin una validaci\u00f3n apropiada, los atacantes pueden redirigir a las v\u00edctimas hacia sitios de phishing o malware, o utilizar reenv\u00edos para acceder p\u00e1ginas no autorizadas.<\/p>\n

 <\/p>\n

 <\/p>\n

\"PDF-icono\"<\/a><\/p>\n

Descarga la Gu\u00eda en castellano\u00a0aqu\u00ed<\/a><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en ingl\u00e9s) es una comunidad abierta dedicada a facultar a las organizaciones a desarrollar, adquirir y mantener aplicaciones que pueden ser con\ufb01ables. La fundaci\u00f3n OWASP es una entidad sin \u00e1nimo de lucro para asegurar el \u00e9xito a largo plazo del proyecto. Casi todos los asociados con OWASP son voluntarios, incluyendo la junta directiva de OWASP, comit\u00e9s globales, l\u00edderes de cap\u00edtulos, los l\u00edderes y miembros de proyectos. Apoyan la investigaci\u00f3n innovadora sobre seguridad a trav\u00e9s de becas e infraestructura.<\/p>\n","protected":false},"author":1,"featured_media":5050,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[50],"tags":[673,668],"class_list":["post-6144","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-informatica","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/6144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=6144"}],"version-history":[{"count":7,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/6144\/revisions"}],"predecessor-version":[{"id":6152,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/6144\/revisions\/6152"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/5050"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=6144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=6144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=6144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}