Los diez riesgos ms crticos en aplicaciones web (2013)

http://psoluciones.net/noticia-65-los-diez-riesgos-mas-criticos-en-aplic...

DESTACADAS

Buscar...

INICIO

ACERCA DE

PROGRAMACION

GENERAL

VARIOS

ANDROID

WINDOWS

CONTACTO

CARICATURAS

OTROS ARTICULOS

Los diez riesgos ms crticos en aplicaciones web (2013)

POR EMANUEL PAXTIAN SEGURIDAD

2014-02-01 10:35:40

Funcion para hacer un respaldo de Mysql y php

2013-10-27 19:51:36

El objetivo principal del Top 10 es educar a los desarrolladores, diseadores, arquitectos, gerentes, y organizaciones; sobre las consecuencias de las vulnerabilidades de seguridad ms importantes en aplicaciones web. El Top 10 provee tcnicas bsicas sobre como protegerse en estas reas de alto riesgo y tambin provee orientacin sobre los pasos a seguir.

Cmo configurar un Cron Job bsico en cPanel?

2013-12-02 17:09:48

0class2DOS: denegacin de El OWASP Top 10 2013, se basa en 8 conjuntos de datos de 7 firmas especializadas en seguridad de aplicaciones, incluyendo 4 empresas consultoras y 3 proveedores de herramientas SaaS. Estos datos abarcan ms de 500.000 vulnerabilidades a travs de cientos de organizaciones y miles de aplicaciones. Las vulnerabilidades del Top 10 son seleccionadas y priorizadas de acuerdo a estos datos de prevalencia, en combinacin con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.
2013-11-12 14:43:11

servicio a terminales Google Nexus via SMS

Ordenar correctamente campos Varchar o texto como numero en mysql

Existen cientos de problemas que pueden afectar a la seguridad en general de una aplicacin web, por lo que se recomienda seguir la Guia de Desarrollo OWASP y la OWASP Cheat Sheet.

Top Ten 2013

La edicin del 2013 presenta las siguientes categoras:

A1 Inyecciones

Vulnerabilidades de inyeccin de cdigo, desde SQL o comandos del sistema hasta LDAP, ocurren cuando se envan datos no confiables a un intrprete como parte de un comando o consulta.

A2 Prdida de autenticacin y gestin de sesiones

El anterior nmero tres. Comprende los errores y fallos en las funciones de gestin de sesiones y autenticacin. Se produce cuando las funciones de la aplicacin relacionadas con la autenticacin y la gestin de sesiones no se implementan correctamente, lo que puede permitir a los atacantes comprometer contraseas, claves, token de sesiones, o explotar otros problemas que podran permitir asumir la identidad de otros usuarios.

A3 Cross-Site Scripting (XSS)

Anteriormente en el nmero dos, no por ello sigue siendo una de las vulnerabilidades ms extendidas y a la par subestimada.

A4 Referencias directas inseguras a objetos

Errores al exponer partes privadas o internas de una aplicacin sin control y accesibles pblicamente. Ocurre cuando un desarrollador expone al exterior una referencia a un objeto de implementacin interno, tal como un fichero, directorio, o base de datos.

A5 Configuracin de seguridad incorrecta

Ms que un error en el cdigo se trata de la falta o mala configuracin de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicacin web, desde la misma aplicacin hasta la configuracin del sistema operativo o el servidor web. Es decir, se refiere a la definicin e implementacin de una configuracin segura para la aplicacin, marcos de trabajo, servidor de aplicacin, servidor web, base de datos y plataforma. Todas estas configuraciones deben ser definidas, implementadas y mantenidas, ya que por lo general no son

1 de 2

04/04/2014 13:22

Los diez riesgos ms crticos en aplicaciones web (2013)

http://psoluciones.net/noticia-65-los-diez-riesgos-mas-criticos-en-aplic...

seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las libreras de cdigo utilizadas por Copyright 2014 Emanuel Paxtian Coto la aplicacin.

Acerca de Contacto

A6 Exposicin de datos sensibles

Esta categora surge de la fusin y ampliacin de las anteriores A7 y A9. Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como nmeros de tarjetas de crdito o credenciales de autenticacin. Los datos sensibles requieren de mtodos de proteccin adicionales tales como el cifrado de datos almacenados mediante tcnicas criptogrficas adecuadas (p.ej. manteniendo el hash de la contrasea en vez de la propia contrasea cifrada), as como tambin de precauciones especiales en el intercambio de datos con el navegador.

A7 Ausencia de control de acceso a funciones

Surge de la ampliacin de la anterior categora 8, que trataba la falta de validacin en el procesamiento de URLs que podran ser usadas para invocar recursos sin los derechos apropiados o pginas ocultas. Ahora se refiere tanto a URLs como a los datos que se pasan a funciones de la propia aplicacin.

A8 Falsificacin de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF).

Anteriormente en el puesto 5. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este ltimo y bajo el control de un atacante.

A9 Utilizacin de componentes con vulnerabilidades conocidas

Se refiere al uso de componentes tales como libreras, frameworks y otros mdulos de software, que en muchas ocasiones funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podria facilitar la intrusin en el servidor o una perdida de datos.

A10 Redirecciones y reenvos no validados.

Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

COMPARTIR.

Agrega un comentario... Publicar tambin en Facebook

Plug-in social de Facebook

Publicar como Alexander Montblack (No eres t?)

ACERCA DE...

EMANUEL PAXTIAN COTO Actualmente radico en la ciudad de Xalapa, Veracruz . En materia profesional soy Ingeniero en Sistemas Computacionales. Me apasiona programar siempre he sido autodidacta se un poco de todo php, mysql, visual basic, visual net, Ajax, experto en nada..

POST RELACIONADOS

2013-12-02 17:19:40

2013-12-01 00:44:18

2013-12-02 17:22:20

Salto de restricciones de seguridad en servidores nginx

Formas de proteger un red WiFi

Los diez riesgos ms crticos en aplicaciones web (2013)

2 de 2

04/04/2014 13:22