{"id":65,"date":"2013-12-02T17:22:20","date_gmt":"2013-12-02T17:30:36","guid":{"rendered":"https:\/\/f0ad0fondo-seguridad.jpg"},"modified":"2015-07-16T19:05:22","modified_gmt":"2015-07-17T01:05:22","slug":"los-diez-riesgos-mas-cri%c2%adticos-en-aplicaciones-web-2013","status":"publish","type":"post","link":"https:\/\/emanuelpaxtian.com\/blog\/los-diez-riesgos-mas-cri%c2%adticos-en-aplicaciones-web-2013\/","title":{"rendered":"Los diez riesgos m\u00e1s cr\u00ed\u00adticos en aplicaciones web (2013)"},"content":{"rendered":"

El objetivo principal del Top 10 es educar a los desarrolladores, dise\u00f1adores, arquitectos, gerentes, y organizaciones; sobre\u00a0las consecuencias de las vulnerabilidades de seguridad m\u00e1s importantes en aplicaciones web.<\/strong>\u00a0El Top 10 provee t\u00e9cnicas b\u00e1sicas sobre como protegerse en estas \u00e1reas de alto riesgo y tambi\u00e9n provee orientaci\u00f3n sobre los pasos a seguir.<\/p>\n

El OWASP Top 10 2013, se basa en 8 conjuntos de datos de 7 firmas especializadas en seguridad de aplicaciones, incluyendo 4 empresas consultoras y 3 proveedores de herramientas SaaS. Estos datos abarcan m\u00e1s de 500.000 vulnerabilidades a trav\u00e9s de cientos de organizaciones y miles de aplicaciones. Las vulnerabilidades del Top 10 son seleccionadas y priorizadas de acuerdo a estos datos de prevalencia, en combinaci\u00f3n con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.<\/p>\n

Existen cientos de problemas que pueden afectar a la seguridad en general de una aplicaci\u00f3n web, por lo que se recomienda seguir la Guia de Desarrollo OWASP y la OWASP Cheat Sheet.<\/p>\n

Top Ten 2013<\/strong><\/p>\n

La edici\u00f3n del 2013 presenta las siguientes categor\u00edas:<\/p>\n

A1 \u2013 Inyecciones<\/strong><\/p>\n

Vulnerabilidades de inyecci\u00f3n de c\u00f3digo, desde SQL o comandos del sistema hasta LDAP, ocurren cuando se env\u00edan datos no confiables a un int\u00e9rprete como parte de un comando o consulta.<\/p>\n

A2 \u2013 P\u00e9rdida de autenticaci\u00f3n y gesti\u00f3n de sesiones<\/strong><\/p>\n

El anterior n\u00famero tres. Comprende los errores y fallos en las funciones de gesti\u00f3n de sesiones y autenticaci\u00f3n. Se produce cuando las funciones de la aplicaci\u00f3n relacionadas con la autenticaci\u00f3n y la gesti\u00f3n de sesiones no se implementan correctamente, lo que puede permitir a los atacantes comprometer contrase\u00f1as, claves, token de sesiones, o explotar otros problemas que podr\u00edan permitir asumir la identidad de otros usuarios.<\/p>\n

A3 \u2013 Cross-Site Scripting (XSS)<\/strong><\/p>\n

Anteriormente en el n\u00famero dos, no por ello sigue siendo una de las vulnerabilidades m\u00e1s extendidas y a la par subestimada.<\/p>\n

A4 \u2013 Referencias directas inseguras a objetos<\/strong><\/p>\n

Errores al exponer partes privadas o internas de una aplicaci\u00f3n sin control y accesibles p\u00fablicamente. Ocurre cuando un desarrollador expone al exterior una referencia a un objeto de implementaci\u00f3n interno, tal como un fichero, directorio, o base de datos.<\/p>\n

A5 \u2013 Configuraci\u00f3n de seguridad incorrecta<\/strong><\/p>\n

M\u00e1s que un error en el c\u00f3digo se trata de la falta o mala configuraci\u00f3n de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicaci\u00f3n web, desde la misma aplicaci\u00f3n hasta la configuraci\u00f3n del sistema operativo o el servidor web. Es decir, se refiere a la definici\u00f3n e implementaci\u00f3n de una configuraci\u00f3n segura para la aplicaci\u00f3n, marcos de trabajo, servidor de aplicaci\u00f3n, servidor web, base de datos y plataforma. Todas estas configuraciones deben ser definidas, implementadas y mantenidas, ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librer\u00edas de c\u00f3digo utilizadas por la aplicaci\u00f3n.<\/p>\n

A6 \u2013 Exposici\u00f3n de datos sensibles<\/strong><\/p>\n

Esta categor\u00eda surge de la fusi\u00f3n y ampliaci\u00f3n de las anteriores A7 y A9. Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como n\u00fameros de tarjetas de cr\u00e9dito o credenciales de autenticaci\u00f3n. Los datos sensibles requieren de m\u00e9todos de protecci\u00f3n adicionales tales como el cifrado de datos almacenados mediante t\u00e9cnicas criptogr\u00e1ficas adecuadas (p.ej. manteniendo el hash de la contrase\u00f1a en vez de la propia contrase\u00f1a cifrada), as\u00ed como tambi\u00e9n de precauciones especiales en el intercambio de datos con el navegador.<\/p>\n

A7 \u2013 Ausencia de control de acceso a funciones<\/strong><\/p>\n

Surge de la ampliaci\u00f3n de la anterior categor\u00eda 8, que trataba la falta de validaci\u00f3n en el procesamiento de URLs que podr\u00edan ser usadas para invocar recursos sin los derechos apropiados o p\u00e1ginas ocultas. Ahora se refiere tanto a URLs como a los datos que se pasan a funciones de la propia aplicaci\u00f3n.<\/p>\n

A8 \u2013 Falsificaci\u00f3n de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF).<\/strong><\/p>\n

Anteriormente en el puesto 5. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este \u00faltimo y bajo el control de un atacante.<\/p>\n

A9 \u2013 Utilizaci\u00f3n de componentes con vulnerabilidades conocidas<\/strong><\/p>\n

Se refiere al uso de componentes tales como librer\u00edas, frameworks y otros m\u00f3dulos de software, que en muchas ocasiones funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podria facilitar la intrusi\u00f3n en el servidor o una perdida de datos.<\/p>\n

A10 \u2013 Redirecciones y reenv\u00edos no validados.<\/strong><\/p>\n

Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.<\/p>\n","protected":false},"excerpt":{"rendered":"

El objetivo principal del Top 10 es educar a los desarrolladores, dise\u00f1adores, arquitectos, gerentes, y organizaciones; sobre\u00a0las consecuencias de las vulnerabilidades de seguridad m\u00e1s importantes en aplicaciones web.\u00a0El Top 10…<\/p>\n","protected":false},"author":1,"featured_media":703,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-65","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/65","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/comments?post=65"}],"version-history":[{"count":0,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/65\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media\/703"}],"wp:attachment":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media?parent=65"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/categories?post=65"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/tags?post=65"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}