Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
4. Un poco de Historia
En 1991 se publica la primera página web creada por Tim Berners-Lee usando
un computador NeXT.
Hablaba sobre el emergente y emocionante mundo del World Wide Web.
16. Principios de Seguridad OWASP
• Seguridad multicapa.
Defensa en
profundidad
• Positivo.
• Negativo.
Modo de seguridad
positivo y negativo
• Estar preparado para controlar las fallas.Fallo seguro
• Otorgar privilegios estrictamente
necesarios.
Ejecución bajo el
privilegio mínimo
17. • No confiar en los acuerdos de
confidencialidad.
Evitar la seguridad por
medio de la ocultación
• Hacer aplicaciones simples. Cuanto más
complicada más insegura.
Simplicidad
• Registro de actividades en bitácoras.
• Revisión periódica.
• Procedimiento para manejar intrusiones.
Detección de intrusos
• No confiar en el hardware y el software pre-diseñado.
• Implementando todos los controles de seguridad que
sean pertinentes.
No confiar plenamente
en elementos ajenos a
la aplicación
18. SDLC - Secure Software Development
Life Cycle
Análisis
Diseño
Implementación
Testing
Evaluación
19. Flujo de trabajo OWASP
Pre desarrollo
Diseño y
definición
Desarrollo Implementación Mantenimiento
20. Proyectos
Los proyectos OWASP se dividen en dos categorías principales:
• Guía de desarrollo
• OWASP Top Ten
• Proyecto legal
• Guía de pruebas
• Etc.
Desarrollo
• WebGoat
• WebScarab
• Etc.
Documentación
23. Proyecto Top Ten
1
• Los diez riesgos de seguridad más
importantes en aplicaciones WEB
2
• Crear conciencia acerca de la
seguridad WEB
3
• Técnicas de protección
26. OWASP Top 10 - 2013
A1. Inyección
A2. Pérdida de
autenticación y
Gestión de
sesiones
A3. Secuencia de
comandos en sitios
cruzados (XSS)
A4. Referencia
directa insegura a
objetos
A5. Configuración
de seguridad
incorrecta
A6. Exposición de
datos sensibles
A7. Ausencia de
control de acceso
a funciones
A8. Falsificación de
peticiones en sitios
cruzados
A9. Utilización de
componentes con
vulnerabilidades
conocidas
A10. Redirecciones
y reenvíos no
validados
54. Para los desarrolladores:
•OWASP recomienda usar Estándar de Verificación de Seguridad
en Aplicaciones (ASVS) OWASP como una guía para ajustar los
requisitos de seguridad
Requisitos de seguridad
en aplicaciones
•OWASP recomienda la Guía de Desarrollo OWASP, y las hojas de
prevención de trampas OWASP
Arquitectura de seguridad
en aplicaciones
•OWASP recomienda el proyecto Enterprise Security API (ESAPI)
Controles de seguridad
estándar
•OWASP recomienda el Modelo de Garantía de la Madurez del
Software OWASP Software Assurance Maturity Model (SAMM).
Ciclo de vida de desarrollo
seguro
•Para una formación práctica acerca de vulnerabilidades, pruebe
los proyectos OWASP WebGoat, WebGoat.net, o el OWASP
Broken Web Application Project.
Educación de seguridad
en aplicaciones
55. Para los testers:
Revisar el código de la aplicación (si está disponible), y
también evaluar la aplicación
OWASP ha producido los estándares de verificación (ASVS)
de seguridad en aplicaciones.
OWASP Live CD Project
56. Revisión de código
Revisión de
código
Herramientas de
revisión de
código
Pruebas de seguridad
e intrusión
Test de
aplicación
Herramientas de
Intrusión de
Aplicación
57. Para las organizaciones:
• Programa de seguridad, áreas de mejora y un plan
de ejecución, campaña de concienciación de
seguridad.
Comience
• Prioridades de aplicaciones en base a al riesgo ,
modelo de perfilado de riesgo de las aplicaciones,
modelo de calificación de riesgo común.
Enfoque basado en el
catálogo de riesgos
• Políticas y estándares que proporcionen seguridad,
controles de seguridad reutilizables común, perfil
de formación en seguridad en app.
Cuente con una base
sólida
• Actividades de implementación de seguridad,
proporcionar expertos en la materia y apoyo a los
equipos de desarrollo y de proyecto.
Integre la seguridad en
los procesos existentes
• Gestionar a través de métricas. Analizar los datos de
las actividades de implementación y verificación.
Proporcione una visión
de gestión
58. La Seguridad
total no existe!La Seguridad no es un
producto, es una sumatoria de
personas, procesos y tecnología.
Suele ser más costoso aplicar la seguridad
informática al final y no durante el proceso.