OPEN WEB APPLICATION SECURITY PROJECT PROYECTO ABIERTO DE SEGURIDAD DE APLICACINES WEB

PREFACIO
El software inseguro esta debilitando las finanzas, salud, defensa y otras infraestructuras criticas. A medida que la infraestructura digital se hace mas compleja e interconectada, la dificultad de lograr seguridad en las aplicaciones aumenta exponencialmente. No se puede dar el lujo de tolerar problemas de seguridad relativamente sencillos como los que se presentan en el top 10. El objetivo del top 10, es crear conciencia de la importancia acerca de implementar normas de seguridad, mediante la identificacin de algunos de los riesgos mas crticos que enfrentan las organizaciones. El top 10 es referenciado por muchos estndares, libros, herramientas y organizaciones. El top diez fue lanzado por primera vez en 2003, con actualizaciones menores en 2004 y 2007, la versin 2010 fue mejorada para dar prioridad al riesgo.

Que es OWASP?
OPEN WEB APPLICATION SECURITY PROJECT
(Proyecto Abierto de Seguridad de Aplicaciones Web) es un proyecto de cdigo abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Su principal misin es difundir informacin sobre vulnerabilidades y fallos en su gua para que las organizaciones y los desarrolladores puedan aplicarla para evitar riesgos reales de seguridad.

Se realiza la invitacin para que su empresa utilice el top 10 y se inicie la temtica de seguridad sobre la aplicaciones, y a largo plazo crear un programa de seguridad en aplicaciones que sea compactible con su tecnologa y su cultura

Top 10

Top 10 A1
INYECCIN:
Las fallas de inyeccin, tales como SQL, OS Y LDAP, ocurren cuando los datos no confiables son enviados a un interprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engaar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados.

Top 10 A2
PERDIDA DE AUTENTICACIN Y GESTIN DE SESIONES.
Las funciones de la aplicacin relacionadas con autenticacin y gestin de sesiones, son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseas, claves, token de sesiones o explotar otras fallas de implementacin para asumir la identidad de otros usuarios.

Top 10 A3

SECUENCIAS DE COMANDOS EN SITIOS CRUZADOS (XSS).

Las fallas XXS ocurren cada vez que una aplicacin toma datos no confiables y los enva al navegador web sin una validacin y codificacin apropiada. XSS permite a los atacantes ejecutar secuencias de comandos en el navegador de la vctima, los cuales pueden secuestrar las sesiones de usuario, destruir sitios web o dirigir ala usuario hacia un sitio malicioso.

Top 10 A4

REFERENCIA DIRECTA INSEGURA A OBJETOS:

Una referencia directa insegura a objetos ocurre cuando un implementador expone una referencia a un objeto de implementacin interno, tal como un fichero, directorio o base de datos. Sin un chequeo de control de acceso u otra proteccin, los atacantes pueden manipular estas referencias para acceder datos no autorizados.

Top 10 A5

CONFIGURACIN DE SEGURIDAD INCORRECTA.

Una buena seguridad requiere tener definida e implementada una configuracin segura para la aplicacin, marcos de trabajo, servidor de aplicacin, servidor web, bases de datos y plataforma. Todas estas configuraciones deben ser definidas, implementadas y mantenidas, ya que por lo general no son seguras por defecto. Esto incluye tener todo el software actualizado, incluidas las libreras de cdigo utilizadas por la aplicacin.

Top 10 A6

EXPOSICIN DE DATOS SENSIBLES.

Muchas aplicaciones web no protegen de forma adecuada datos sensibles como: nmeros de tarjetas de crdito o credenciales de autenticacin. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren mtodos de proteccin adicionales tales como: cifrado de datos, as como tambin de precauciones especiales en el intercambio de informacin con el navegador

Top 10 A7

AUSENCIA DE CONTROL DE ACCESO A FUNCIONES:

La mayora de aplicaciones web, verifican los derechos de acceso a nivel de funcin antes de hacer visible en la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el servidor cuando se accede a cada funcin, Si las solicitudes de acceso no se verifican, cada atacante podra realizar peticiones sin la autorizacin apropiada.

Top 10 A8

FALSIFICACIN DE PETICIONES EN SITIOS CRUZADOS (CSRF):

Un ataque CSRF obliga al navegador de una victima autenticada a enviar una peticin HTTP falsificado, incluyendo la sesin del usuario y cualquier otra informacin de autenticacin incluida automticamente a una aplicacin web vulnerable. Esto permite al atacante a forzar al navegador de la victima para generar pedidos que la aplicacin vulnerable piensa son peticiones legitimas provenientes de la victima.

Top 10 - A9

UTILIZACIN DE COMPONENTES CON VULNERABILIDADES CONOCIDAS

Algunos componentes tales como libreras, frameworks y otros mdulos de software, casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podra facilitar la intrusin en el servidor o una seria perdida de datos, las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicacin y amplia el rango posible de ataques.

Top 10 A10

REDIRECCIONES Y REENVOS NO VALIDOS.

Las aplicaciones web frecuentemente redirigen y reenvan a los usuarios hacia otras paginas o sitios web, y utilizan datos no confiables para determinar la pagina de destino. Sin una validacin apropiada los atacantes pueden redirigir a las victimas hacia sitios de malware, o utilizar reenvos para ingresar a paginas no autorizadas.

GRACIAS.