El documento resume los 10 principales riesgos de seguridad en aplicaciones web según el proyecto OWASP como referencia estándar para desarrolladores. Estos incluyen vulnerabilidades como control de acceso inseguro, fallos criptográficos, inyección, diseño inseguro, configuración insegura, componentes desactualizados, fallas en autenticación e integridad, falta de monitoreo de seguridad y falsificación de solicitudes del lado del servidor. La adopción de las mejores prácticas de OWASP ayuda a
El documento resume los 10 principales riesgos de seguridad en aplicaciones web según el proyecto OWASP como referencia estándar para desarrolladores. Estos incluyen vulnerabilidades como control de acceso inseguro, fallos criptográficos, inyección, diseño inseguro, configuración insegura, componentes desactualizados, fallas en autenticación e integridad, falta de monitoreo de seguridad y falsificación de solicitudes del lado del servidor. La adopción de las mejores prácticas de OWASP ayuda a
El documento resume los 10 principales riesgos de seguridad en aplicaciones web según el proyecto OWASP como referencia estándar para desarrolladores. Estos incluyen vulnerabilidades como control de acceso inseguro, fallos criptográficos, inyección, diseño inseguro, configuración insegura, componentes desactualizados, fallas en autenticación e integridad, falta de monitoreo de seguridad y falsificación de solicitudes del lado del servidor. La adopción de las mejores prácticas de OWASP ayuda a
El documento resume los 10 principales riesgos de seguridad en aplicaciones web según el proyecto OWASP como referencia estándar para desarrolladores. Estos incluyen vulnerabilidades como control de acceso inseguro, fallos criptográficos, inyección, diseño inseguro, configuración insegura, componentes desactualizados, fallas en autenticación e integridad, falta de monitoreo de seguridad y falsificación de solicitudes del lado del servidor. La adopción de las mejores prácticas de OWASP ayuda a
Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
Descargar como pptx, pdf o txt
Está en la página 1/ 25
OWASP TOP 10
1. Introducción Buenas prácticas
2 Proyecto OWASP OWASP top 10 es Las compañías deberían estándar que adoptar este documento documenta a los para iniciar el proceso programadores sobre de fortalecer sus los riesgos en las aplicaciones y minimizar aplicaciones web, es la los riesgos, El uso de conclusión de un OWASP Top 10 es muy consenso entre los útil para insertar una riesgos de seguridad cultura de seguridad en más críticos una organización. Más información visitando si sitio web: https://owasp.org/www-project-top-ten/
3 OWASP TOP 10 Vamos a clasificar las vulnerabilidades según si grado de impacto he importancia
4 A01:2021 Broken Access Control El control de acceso tiene la intensión de reforzar la seguridad permitiendo solo las acciones permitidas a los usuarios con permisos suficientes, las vulnerabilidades aquí surgen desde la filtración de datos sensibles no autorizados, modificación o destrucción de los datos que son útiles para las funciones del negocio. 5 A01:2021 Broken Access Control
Formas de Prevenirlo: Excepto para los datos públicos, denegar todos los accesos por default En el servidor web, deshabilitar la opción list si no existe un index. Un tiempo de vida limitado a los tokens JWT 6 A02:2021 Cryptographic Failures Es una de las primeras lineas de defensa cuando los datos viajan a través de la red, los datos personales, tarjeta de crédito o cualquier información privilegiada debe mantener el máximo nivel de protección
7 A02:2021 Cryptographic Failures Formas de Prevenirlo: Clasificar correctamente los datos para de esta manera darle prioridad en el cifrado de los mas importantes Realizar una revisión de que los datos sensibles son cifrados correctamente. Deshabiltar el cache para respuestas que contienen datos sensibles Siempre usar la autenticación de usuarios 8 A03:2021 Injection Esta vulnerabilidad va a estar presente siempre y cuando un usuario envíe datos a nuestros sistemas para ser procesados, algunos programas no realizan una correcta validación de datos y permite ejecutar comandos arbitrariamente.
9 A03:2021 Injection Formas de Prevenirlo: Realizar un filtro de los datos que entran. Uso de Listas Blancas Dar preferencia a el uso de API que implementen medidas de protección frente a SQL . Limitar la cantidad de resultados para evitar el abuso y exposición de información.
10 A04:2021 Insecure Design La seguridad desde el diseño es un factor clave, esta sección se encarga de los riesgos que surgen relacionados a la arquitectura de los sistemas, haciendo enfasis en el uso del modelado de amenazas, patrones de diseño seguro,etc
11 A04:2021 Insecure Design Formas de Prevenirlo: Establecer el Desarrollo Seguro de Software en el ciclo de vida. Uso del modelado de amenazas en zonas criticas, control de acceso, lógica de negocio, etc. Segregación de los componentes más importantes de sus sistemas. Limitar el consumo de los recursos a lo estrictamente necesario 12 A05:2021 Security Misconfiguration Las aplicaciones son vulnerables a: Claves de usuarios que nunca cambian Mensajes de error que muestran información sensible Servidor no envía Security Headers Características innecesarias activadas No se aplica hardening en las aplicaciones. Las opciones de seguridad son muy debiles.
13 A05:2021 Security Misconfiguration Formas de Prevenirlo: Desarrollar un buen hardening a todos los sistemas core del negocio. Que los sistemas funcionen con lo mínimo necesario, evitar instalar programas que no se van a usar o no aportan valor. Enviar las directivas de seguridad a través de security headers.
14 A06:2021 Vulnerable and Outdated Components Muchas veces no conocemos la versión de los módulos de sofware que usamos, si no hacemos un debido upgrade de nuestro software podemos caer en riegos de seguridad, es necesario asegurar los componentes de software realizando un debido testing y pruebas de seguridad 15 A06:2021 Vulnerable and Outdated Components Formas de Prevenirlo: Remover dependencias innecesarias y su documentación Realizar un inventario continuo con la versión de el software que usamos. Solo obtener software de fuentes oficiales, jamas usar software pirata Monitorear componentes que jamás han recibido mantenimiento. 16 A07:2021 Identification and Authentication Failures La confirmación de identidad del usuario, autenticación y manejo de sesiones es critico podemos hablar de debilidades si la aplicación : Permite ataques de fuerza bruta. Permite el uso de password comunes y rompibles La recuperación de contraseñas es un proceso débil Se usa texto plano o mecanismos de encodeado. No aplica doble autenticación. Manejo ineficiente de la sesión de usuario.
17 A07:2021 Identification and Authentication Failures Formas de Prevenirlo: Cuando sea posible implementar el multi factor de autenticación para prevenir ataques de fuerza bruta o credenciales robadas No desplegar aplicaciones con las credenciales por defecto Realizar testeo de las claves mas comunes a ser vulneradas Buscar en bases de datos hackeadas si hay datos de nuestra empresa 18 A08:2021 Software and Data Integrity Failures Esta relacionado a el código o infraestructura que no protege sobre las violaciones de integridad , un ejemplo ocurre cuando se envían datos serializados y dichos datos pueden ser alterados para abrir puertas de ejecución remota de código
Un inseguro uso de las pipelines CI/CD pueden abrir
puertas a vulnerabilidades ya que muchas veces no se validan datos a este nivel.
19 A08:2021 Software and Data Integrity Failures Formas de Prevenirlo: Asegurar que el pipeline CI/CD tiene la adecuada segregación. Asegurar que las dependencias como npm o maven se consuman desde repositorios confiables Usar certificados digitales para asegurar que los datos no sean alterados. Asegurar que los datos serializados estén firmados 20 A09:2021 Security Logging and Monitoring Failuresnts Esta categoría ayuda a detectar, escalar y reponder a las brachas activas, pueden ocurrir eventos como los siguientes: Los logs en las APIS no se monitorean adecuadamente La aplicación es incapaz de alertar sobre un ciber ataque Los los se almacenan solo de forma local. Los mecanismos de logging son apropiados pero no están en el lugar correcto. 21 A09:2021 Security Logging and Monitoring Failuresnts Formas de Prevenirlo: Asegurar que todos los logs sean almacenados de una manera que sea de fácil acceso. Los equipos de devsecops deben establecer un monitoreo efectivo y alertar de forma oportuna Establecer y adoptar un plan de respuesta a incidentes y recuperación ante desastres como por ejemplo el (NIST) 800-61r2
22 A10:2021 Server-Side Request Forgery (SSRF) Ocurre cuando un servidor ejecuta acciones de un usuario sin validar la URL del mismo, pudiendo realizar acciones arbitrarias con request http mal formados
23 A10:2021 Server-Side Request Forgery (SSRF) Formas de Prevenirlo: Desactivar las re direcciones HTTP Validar y limpiar todos los datos enviados por el usuario No enviar respuestas raw a los clientes. Reforzar las políticas de denegar por defecto en todos los recursos remotos.
24 GRACIAS! No Olviden revisar la seguridad en su software
