El documento presenta el proyecto Top Ten de OWASP, que se enfoca en los principales riesgos de seguridad en aplicaciones web y brinda recomendaciones de prevención para desarrolladores y organizaciones. Se describen los riesgos más relevantes como inyección, pérdida de autenticación y configuraciones incorrectas, junto con las mejores prácticas y herramientas para abordarlos. El objetivo es concientizar sobre la seguridad en la web y promover la implementación de controles efectivos durante el ciclo de vida del desarrollo de software.

1. Proyecto Top Ten de OWASP
ju4np4blo.soto@gmail.com
Juan Pablo Soto
Analista de Seguridad Informática
https://www.linkedin.com/in/juanpablosoto26/

2. AGENDA:
La Web.
Seguridad informática en la Web.
OWASP?
OWASP Top Ten.
Recomendaciones.
Créditos.

3. LA WEB

4. Un poco de Historia
En 1991 se publica la primera página web creada por Tim Berners-Lee usando
un computador NeXT.
Hablaba sobre el emergente y emocionante mundo del World Wide Web.

5. Evolución

6. Seguridad informática en la Web

7. Confidencialidad
IntegridadDisponibilidad

8. OWASP?

9. Open Web Application Security Project
Proyecto abierto de seguridad en aplicaciones Web
Comunidad
abierta!
AP
confiables
Herramientas
gratuitas

10. Licencia 3.0 de Creative Commons AGribution ShareAlike

11. http://www.owasp.org/

13. Por quién está formada?
Comunidad OWASP
Empresas
Particulares
Comunidad
Educativas

14. Para quién?
Desarrolladores Testers de Software Especialistas de Seguridad

15. Objetivo?
Crear herramientas, documentación y estándares
relacionados con la seguridad en aplicaciones

16. Principios de Seguridad OWASP
• Seguridad multicapa.
Defensa en
profundidad
• Positivo.
• Negativo.
Modo de seguridad
positivo y negativo
• Estar preparado para controlar las fallas.Fallo seguro
• Otorgar privilegios estrictamente
necesarios.
Ejecución bajo el
privilegio mínimo

17. • No confiar en los acuerdos de
confidencialidad.
Evitar la seguridad por
medio de la ocultación
• Hacer aplicaciones simples. Cuanto más
complicada más insegura.
Simplicidad
• Registro de actividades en bitácoras.
• Revisión periódica.
• Procedimiento para manejar intrusiones.
Detección de intrusos
• No confiar en el hardware y el software pre-diseñado.
• Implementando todos los controles de seguridad que
sean pertinentes.
No confiar plenamente
en elementos ajenos a
la aplicación

18. SDLC - Secure Software Development
Life Cycle
Análisis
Diseño
Implementación
Testing
Evaluación

19. Flujo de trabajo OWASP
Pre desarrollo
Diseño y
definición
Desarrollo Implementación Mantenimiento

20. Proyectos
Los proyectos OWASP se dividen en dos categorías principales:
• Guía de desarrollo
• OWASP Top Ten
• Proyecto legal
• Guía de pruebas
• Etc.
Desarrollo
• WebGoat
• WebScarab
• Etc.
Documentación

21. Ya sabemos acerca de OWASP

22. TOP TEN PROJECT

23. Proyecto Top Ten
1
• Los diez riesgos de seguridad más
importantes en aplicaciones WEB
2
• Crear conciencia acerca de la
seguridad WEB
3
• Técnicas de protección

24. Historia:

25. Riesgos de seguridad en aplicaciones?

26. OWASP Top 10 - 2013
A1. Inyección
A2. Pérdida de
autenticación y
Gestión de
sesiones
A3. Secuencia de
comandos en sitios
cruzados (XSS)
A4. Referencia
directa insegura a
objetos
A5. Configuración
de seguridad
incorrecta
A6. Exposición de
datos sensibles
A7. Ausencia de
control de acceso
a funciones
A8. Falsificación de
peticiones en sitios
cruzados
A9. Utilización de
componentes con
vulnerabilidades
conocidas
A10. Redirecciones
y reenvíos no
validados

27. Cuadro de riegos en el Top 10.

28. A1. Inyección
SQL Injection Blind

29. Datos no
confiables
Comandos y
consultas
A1. Cómo prevenirlo?
API
segura
OWASP
ESAPI
Entradas
codificadas y
convertidas

30. A2. Pérdida de autenticación y Gestión
de sesiones

31. A2. Cómo prevenirlo?
WebScarab

32. A3. Secuencia de comandos en sitios
cruzados (XSS)
Persistente y Reflejado

33. A3. Cómo prevenirlo?
Codificar Datos
Lista
BlancaEntradas
AntiSamy OWASP

34. A4. Referencia directa insegura a
objetos

35. Desarrollador
Fichero
Directorio
DB
Clave
URL
Exposición
A4.

36. A4. Cómo prevenirlo?
objetos
No exponer
Validar referencias
Verificar
autorización

37. A5. Configuración de seguridad
incorrecta

38. Mala configuración
APP Servidor DB S.O
A5.
Vigilar Actualizaciones
Puertos
Servicios
Páginas
Cambio de
Contraseñas Etc.

39. A5. Cómo prevenirlo?
Realizar
Actualizaciones
Parches
Arquitectura
fuerte
Escaneos
Auditorias
Entorno
asegurado

40. A6. Exposición de datos sensibles

41. A6. Cómo prevenirlo?
Amenazas
internas o
externas
No almacenar
datos sensibles
innecesarios
Cifrado de
datos
Claves fuertes
No caché en
páginas

42. A7. Ausencia de control de acceso a
funciones

43. A7.

44. A7. Cómo prevenirlo?
Módulo de
autorización
Auditorias
Actualizaciones
Acceso
restringido

45. A8. Falsificación de peticiones en sitios
cruzados (CSRF)

46. A8.

47. A8. Cómo prevenirlo?
Token
Secreto
Capcha
Codificar
entradas

48. A9. Utilización de componentes con
vulnerabilidades conocidas

49. A9. Framework

50. A9. Cómo prevenirlo?
Componentes
versión
DB públicas
Listas de
correos
Mejores
prácticas en
desarrollo
Capas de
seguridad en
componentes

51. A10. Redirecciones y reenvíos no
validados

52. 10. Cómo prevenirlo?
Evitar
reenvíos
No involucrar
parámetros
manipulables
Parámetros de
destino
autorizados
OWASP ESAPI
Utilizar un
valor de
mapeo

53. Recomendaciones:

54. Para los desarrolladores:
•OWASP recomienda usar Estándar de Verificación de Seguridad
en Aplicaciones (ASVS) OWASP como una guía para ajustar los
requisitos de seguridad
Requisitos de seguridad
en aplicaciones
•OWASP recomienda la Guía de Desarrollo OWASP, y las hojas de
prevención de trampas OWASP
Arquitectura de seguridad
en aplicaciones
•OWASP recomienda el proyecto Enterprise Security API (ESAPI)
Controles de seguridad
estándar
•OWASP recomienda el Modelo de Garantía de la Madurez del
Software OWASP Software Assurance Maturity Model (SAMM).
Ciclo de vida de desarrollo
seguro
•Para una formación práctica acerca de vulnerabilidades, pruebe
los proyectos OWASP WebGoat, WebGoat.net, o el OWASP
Broken Web Application Project.
Educación de seguridad
en aplicaciones

55. Para los testers:
Revisar el código de la aplicación (si está disponible), y
también evaluar la aplicación
OWASP ha producido los estándares de verificación (ASVS)
de seguridad en aplicaciones.
OWASP Live CD Project

56. Revisión de código
Revisión de
código
Herramientas de
revisión de
código
Pruebas de seguridad
e intrusión
Test de
aplicación
Herramientas de
Intrusión de
Aplicación

57. Para las organizaciones:
• Programa de seguridad, áreas de mejora y un plan
de ejecución, campaña de concienciación de
seguridad.
Comience
• Prioridades de aplicaciones en base a al riesgo ,
modelo de perfilado de riesgo de las aplicaciones,
modelo de calificación de riesgo común.
Enfoque basado en el
catálogo de riesgos
• Políticas y estándares que proporcionen seguridad,
controles de seguridad reutilizables común, perfil
de formación en seguridad en app.
Cuente con una base
sólida
• Actividades de implementación de seguridad,
proporcionar expertos en la materia y apoyo a los
equipos de desarrollo y de proyecto.
Integre la seguridad en
los procesos existentes
• Gestionar a través de métricas. Analizar los datos de
las actividades de implementación y verificación.
Proporcione una visión
de gestión

58. La Seguridad
total no existe!La Seguridad no es un
producto, es una sumatoria de
personas, procesos y tecnología.
Suele ser más costoso aplicar la seguridad
informática al final y no durante el proceso.

59. Créditos:
https://www.owasp.org/
https://www.owasp.org/index.php/ASVS
https://www.owasp.org/index.php/ESAPI
https://www.owasp.org/index.php/Top_10
https://www.owasp.org/index.php/OWASP_Broken_Web_Applic
ations_Project
https://www.owasp.org/index.php/OWASP_Guide_Project
https://www.owasp.org/index.php/Category:OWASP_Live_CD_P
roject

60. Gracias por la atención prestada!
Cualquier duda consulten

61. Muchas gracias!
ju4np4blo.soto@gmail.com
Juan Pablo Soto
Analista de Seguridad Informática
https://www.linkedin.com/in/juanpablosoto26/