Fundamentos de la Seguridad Informática

Transcripción

1 Fundamentos de la Seguridad Informática Seguridad en aplicaciones: Gestión de sesiones Web GSI - Facultad de Ingeniería

2 Introducción Las aplicaciones finas de clientes guardan de forma innata datos locales Por diseño, el protocolo HTTP no tiene estado, y no mantiene nativamente una conexión entre el navegador cliente y el software del servidor Aplicaciones web no triviales pueden requerir mantener un estado a lo largo de una sesión FSI Seguridad en Aplicaciones Web 2

3 Solución: sesiones Web! Cómo se implementan? Algo compartido entre servidor Web y cliente Cookies (RFC 6265: HTTP State Management Mechanism) URL Rewriting FSI Seguridad en Aplicaciones Web 3

4 Problemas Variables de sesión expuestas Falsificación Secuestro de sesiones Validación Best practices FSI Seguridad en Aplicaciones Web 4

5 Variables de sesión expuestas Algunos frameworks usan áreas compartidas en el disco del servidor web para guardar datos de sesión Por ejemplo, PHP usa el /tmp en Unix y c:\windows\temp en Windows por defecto Pueden comprometer a la aplicación si el servidor web se comparte o es comprometido FSI Seguridad en Aplicaciones Web 5

6 Usando tokens en acceso a páginas Algunos tokens (nonces) pueden usarse en conjunción con tokens específicos de sesión para proveer medidas de la autenticidad en pedidos de clientes El cliente del otro lado de la sesión es el mismo que pidió la página en la misma sesión Pueden guardarse en cookies o en las propias query strings, y deben ser completamente al azar FSI Seguridad en Aplicaciones Web 6

7 Usando tokens en acceso Es posible evitar el envío de la información del token al cliente a páginas (2) Crear un mapeo entre el cliente y el token en el lado del servidor Esta técnica debería incrementar la dificultad de usar fuerza bruta con los tokens de autenticación de la sesión FSI Seguridad en Aplicaciones Web 7

8 Algoritmos criptográficos débiles en sesiones Si se generan tokens predecibles, un atacante no necesita capturar las variables de sesión de los usuarios remotos Puede simplemente adivinar algunos identificadores de sesión y con el tiempo encontrará uno con la suficiente cantidad de intentos Los tokens de sesión deben ser únicos, no predecibles, y resistentes a ingeniería reversa FSI Seguridad en Aplicaciones Web 8

9 Regeneración de tokens de la sesión Para reducir el riesgo de secuestro de sesiones y ataques por fuerza bruta, el servidor HTTP puede sin esfuerzo expirar y regenerar los tokens Esto decrece la ventana de oportunidad para un ataque por replay o fuerza bruta FSI Seguridad en Aplicaciones Web 9

10 Falsificando la sesión Muchas aplicaciones web toman medidas en contra de intentos de adivinar claves Es menos común para las aplicaciones web detectar muchos intentos de continuar sesiones basadas en adivinar identificadores de sesión Los servidores de aplicación rara vez hacen logs o auditan dichos intentos Los NIDS rara vez tienen firmas para ver este tipo de tráfico FSI Seguridad en Aplicaciones Web 10

11 Captura del token de sesión Si puede capturarse un token en tránsito, es posible hacer secuestro de dicha sesión Es más probable que suceda si sólo usamos HTTP Nunca debe transmitirse en texto claro Usar otro token para áreas que requieran mayor nivel de seguridad FSI Seguridad en Aplicaciones Web 11

12 Secuestro de la sesión Si el identificador se transmite via un parámetro en la URL en vez de una cookie, los GETs pueden guardarse en la historia, el cache, etc. Usando pedidos mediante POST puede ayudar a aliviar este problema Hay propuestas de usar la IP dentro de la asociación a las sesiones Puede ocasionar problemas, NAT, firewalls, se depende de la red FSI Seguridad en Aplicaciones Web 12

13 Tokens de sesión al salir Se debe invalidar el token y borrar el identificador de sesión al salir el usuario En general, las cookies se asocian a la vida de la ventana del browser En una máquina compartida, el identificador de sesión puede quedar en el navegador y ser utilizado por el próximo usuario Se puede dar una fuga de información por este método, y saltear controles de AA FSI Seguridad en Aplicaciones Web 13

14 Ataques de validación de la sesión Como cualquier dato, la variable de sesión debe ser validada para asegurar que está de la forma correcta Que no contiene caracteres no esperados, y es válida en la tabla de sesiones Por ejemplo usar bytes nulos para truncar objetos de sesión y debido a errores de codificación se comparaba el largo del string más corto FSI Seguridad en Aplicaciones Web 14

15 Best practices Usar un manejador de sesión robusto y bien conocido dentro de algún framework de aplicación Siempre usar las versiones más actualizadas porque pueden contener bugs Si se está en duda, no deberían tomarse riesgos y guardar la información sensible del estado en sesiones en el servidor FSI Seguridad en Aplicaciones Web 15

16 Best practices (2) Datos de autorización y roles deberían guardarse en el lado del servidor solamente a no ser que esté protegida mediante encriptación fuerte Siempre, por motivos de seguridad, guardar del lado del servidor Los datos para tomar decisiones no críticas, como por ejemplo el lenguaje o el tema pueden guardarse en datos en el cliente Los campos ocultos nunca deberías usarse para guardar información de estado sensible FSI Seguridad en Aplicaciones Web 16

17 Bibliografía y material de D. Gollman, Computer Security, Wiley, 2006 referencia W. Stallings, Cryptography and Network Security, Prentice Hall, R. Anderson, Security Engineering A Guide to Building Dependable Distributed Systems, Wiley, 2001 OWASP, Open Web Application Security Project, G. Ollmann, Web Based Session Management: Best Practices in Managing HTTP Based Client Sessions, ionmanagement.html FSI Seguridad en Aplicaciones Web 17

18 Fundamentos de la Seguridad Informática Seguridad en aplicaciones: OWASP Top Ten GSI - Facultad de Ingeniería

19 Qué son los riesgos de seguridad en aplicaciones? Los atacantes pueden potencialmente usar rutas diferentes a través de la aplicación para hacer daño a su negocio u organización. Cada una de estas rutas representa un riesgo que puede, o no, ser lo suficientemente grave como para justificar la atención. Agentes Vectores Debilidades Controles Impactos Impactos de Amenaza de Ataque de Seguridad de Seguridad Técnicos al Negocio Ataque Debilidad Control Impacto Recurso Ataque Debilidad Control Impacto Función Ataque Debilidad Impacto Recurso Debilidad Control A veces, estas rutas son triviales de encontrar y explotar, y a veces son muy difíciles. Del mismo modo, el daño que se causa puede ir de ninguna consecuencia, o ponerlo fuera del negocio. Para determinar el riesgo en su organización, puede evaluar la probabilidad asociada a cada agente de amenaza, vector de ataque, y la debilidad en la seguridad, y combinarla con una estimación del impacto técnico y de negocios para su organización. En conjunto, estos factores determinan el riesgo global.

20 Top 1-5 A1- Inyección Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un interprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados. A2 Pérdida de Autenticación y Gestión de Sesiones Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios. A3 Secuencia de Comandos en Sitios Cruzados (XSS) A4 Falla en Control de acceso A5 - Defectuosa Configuración de Seguridad Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. Las restricciones a lo que los usuarios autenticados tienen permitido hacer no se hacer cumplir. Los atacantes pueden explotar estas debilidades para acceder funcionalidades/datos no autorizados, como otras cuentas de usuarios, ver archivos sensibles, modificar datos de otros usuarios, cambiar derechos de acceso, etc. Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son

21 Top 6-10 A6 Exposición de datos sensibles Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los atacantes pueden robar o modificar tales datos para llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos, así como también de precauciones especiales en un intercambio de datos con el navegador. A7 Protección contra ataques insuficiente La mayoría de aplicaciones y APIs carecen de la habilidad básica de detectar, prevenir, y responder ante ataques manuales y automatizados. Protección de ataques va mucho más allá de validación básica de entrada e involucra detectar, loguear, responder, e inclusive bloquear intentos de ataques. Los dueños de las aplicaciones necesitan también poder desplegar parches rápidamente para protegerse contra ataques. A8 - Falsificación de Peticiones en Sitios Cruzados (CSRF) Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petición HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la victima para generar pedidos que la aplicación vulnerable piensa son peticiones legítimas provenientes de la victima. A9 Utilización de componentes con vulnerabilidades conocidas Algunos componentes tales como las librerías, los frameworks y otros módulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una perdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicación y permiten ampliar el rango de posibles ataques e impactos. A10 APIs no protegidas adecuadamente Las aplicaciones web frecuentemente involucran aplicaciones con clientes enriquecidos y APIs, como JavaScript en el navegador y aplicaciones móbiles, que conectan a una API de algún tipo (SOAP/SML, REST/JSON, RPC, GWT, etc.). Estas APIs frecuentemente no están protegidas y contienen numerosas vulnerabilidades.

22 A1 - Inyección Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados. FSI Seguridad en Aplicaciones Web 22

23 Inyección SQL Demostración Capa de Red Capa de Aplicación Pedido HTTP APPLICATION ATTACK Firewall Accounts Finance Administration Transactions Resp HTTP Communication Knowledge Mgmt Custom Code App Server Web Server Hardened OS E-Commerce Bus. Functions Consulta SQL Firewall Databases Legacy Systems Web Services Directories Human Resrcs Tabla BD Billing Account: "SELECT Account Summary * FROM accounts SKU: WHERE acct= OR 1=1-- " Acct: Acct: Acct: Acct: Aplicación presenta un formulario web al atacante 2. Atacante envía un ataque en los datos del formulario 3. Aplicación dirige el ataque a la base de datos en una consulta SQL 4. Base de datos ejecuta el ataque y envía los resultados cifrados nuevamente a la aplicación 5. Aplicación descifra los datos normalmente y envía los resultados al atacante

24 A1 Evitar Fallas de Inyección Recomendaciones 1. Evitar el interprete completamente 2. Utilizar una interfase que soporte variables parametrizadas (Ej., declaraciones preparadas, o procedimientos almacenados), Las variables parametrizadas permiten al interprete distinguir entre código y datos 1. Decodificar y convertir todas las entradas del usuario a su forma mas simple antes de enviarlas al interprete Siempre efectuar una validación positiva de todas las entradas realizadas por el usuario Seguir el principio de mínimo privilegio en las conexiones con bases de datos para reducir el impacto de una falla Referencias Para mayor información:

25 A2 Pérdida de Autenticación y Gestión de Sesiones Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente Permiten a los atacantes comprometer contraseñas, llaves, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios FSI Seguridad en Aplicaciones Web 25

26 A3 - XSS Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos cruzados (XSS)en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso FSI Seguridad en Aplicaciones Web 26

27 1 XSS - Demostración Atacante establece una trampa actualizar perfil 2 Atacante ingresa un script malicioso en una pagina web que almacena los datos en el servidor Victima visualiza la pagina accede al perfil Aplicación con vulnerabilidad XSS Almacenado Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Script se ejecuta en el navegador de la victima 2 Script silenciosamente envía la sesión de la victima al atacante

28 Recomendaciones A3 Como evitar Fallas de XSS Eliminar la Falla No incluir entradas suministradas por el usuario en la pagina de salida Defenderse de la Falla Recomendación Principal: Codificar todos los datos de entrada en la pagina de salida (Utilizar OWASP s ESAPI para dicha tarea): Siempre efectuar una validación positiva de todas las entradas realizadas por el usuario Cuando grandes cantidades de HTML son suministradas por el usuario, utilizar OWASP s AntiSamy para sanitizar dicho HTML Referencias Ver: Site Scripting) Prevention Cheat Sheet (AntiSamy)

29 A4 Fallas en control de acceso Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular parámetros para acceder a datos no autorizados Aplicaciones o APIs no siempre verifican que el usuario está autorizado a trabajar con el recurso objetivo FSI Seguridad en Aplicaciones Web 29

30 A4 Falla en control de acceso Eliminar referencias directa a objetos Reemplazarla con un valor temporal de mapeo (ej. 1, 2, 3) ESAPI proporciona soporte para mapeos numéricos y aleatorios IntegerAccessReferenceMap & RandomAccessReferenceMap Report123.xls Acct: Validar la referencia directa al objeto Verificar que el valor del parámetro se encuentra adecuadamente formateado. Verificar que el usuario se encuentra autorizado a acceder el objeto determinado Verificar que el modo de acceso al objeto solicitado se encuentra autorizado (ej., lectura, escritura, modificación)

31 A5 Defectuosa Configuración de seguridad Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto FSI Seguridad en Aplicaciones Web 31

32 Defectuosa Configuración de seguridad - Demostración Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Database Custom Code App Configuration Framework Development App Server Web Server QA Servers Atacante Interno Hardened OS Test Servers Source Control

33 A6 Exposición de datos sensibles Atacantes pueden modificar o robar tales datos protegidos inadecuadamente para conducir robos de identidad, fraudes de tarjeta de crédito u otros crímenes Las aplicaciones frecuentemente fallan al autenticar, cifrar, y proteger la confidencialidad e integridad de tráfico de red sensible Cuando esto ocurre, es debido a la utilización de algoritmos débiles, certificados expirados, inválidos, o sencillamente no utilizados correctamente FSI Seguridad en Aplicaciones Web 33

34 Exposición de datos sensibles- Demostración Victima Externa Custom Code Backend Systems Socios de Negocios 1 2 Empleados Attacante Externo Atacante Externo obtiene credenciales y datos de la red Atacante Interno Atacante Interno obtiene credenciales y datos de la red interna

35 A6 Exposición de datos sensibles Proteger con mecanismos apropiados Utilizar TLS en todas las conexiones con datos sensitivos Encriptar mensajes individualmente antes de transmitirlos Ej., XML-Encryption Firmar digitalmente los mensajes antes de transmitirlos Ej., XML-Signature Utilizar los mecanismos correctamente Verificar los certificados SSL antes de usarlos Utilizar SSL en cualquier comunicación autenticada o al transmitir información sensible Verificar que la comunicación entre componentes (ej., servidor web y base de datos) también utiliza un canal seguro. Para mayor información: _Sheet

36 A7 Insuficiente protección Atacantes, usuarios conocidos o anónimos, envían ataques ante ataques La aplicación o API detecta el ataque? Cómo responde? FSI Seguridad en Aplicaciones Web 36

37 Insuficiente protección ante ataques - Demostración Atacante identifica que la URL indica su perfil /user/getaccounts La modifica apuntando a otra carpeta (perfil) /admin/getaccounts, o /manager/getaccounts Qué hace la aplicación?

38 A8 Falsificación de Pedidos en Sitios Cruzados (CSRF) Un ataque CSRF obliga al navegador de una víctima autenticada a enviar un pedido HTTP falsificado, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable Esto permite al atacante forzar al navegador de la víctima para generar pedidos que la aplicación vulnerable piensa son pedidos legítimos provenientes de la víctima FSI Seguridad en Aplicaciones Web 39

39 1 CSRF - Demostración Atacante establece una trampa en algún sitio web en la Internet (o simplemente a través de un correo electrónico) 2 Tag oculto <img> contiene ataque contra sitio vulnerable Mientras que la victima se encuentra conectada al sitio vulnerable, visualiza el sitio del atacante Aplicación con vulnerabilidad CSRF Accounts Finance Administration Transactions Communication Custom Code Knowledge Mgmt E-Commerce Bus. Functions 3 <img> tag es cargado por el navegador envia un pedido GET (utlizando las credenciales) a un sitio vulnerable Sitio vulnerable recibe un pedido legitimo de la victima y ejecuta la acción solicitada

40 A8 Como evitar Fallas de CSRF Agregue un token secreto, no enviado automáticamente, a todos los pedidos HTTP sensitivos Esto hace imposible al atacante falsificar el pedido HTTP (al menos que exista una vulnerabilidad XSS en la aplicación) Los tokens deben ser lo suficientemente fuertes o aleatorios Opciones Almacenar una token único en la sesión y agregarlo en todos los formularios y enlaces Campo Oculto: <input name="token" value="687965fdfaew87agrde" type="hidden"/> URL de uso unico: /accounts/687965fdfaew87agrde Token en el formulario: /accounts?auth=687965fdfaew87agrde Tener cuidado de no exponer el token en el encabezado de referencia Se recomienda el uso de campos ocultos Se puede tener un token único por cada función Use un hash del nombre de una función, id de sesión, y un secreto Se puede solicitar una autenticación secundaria para funciones sensitivas No permita que atacantes almacenen ataques en su sitio Codificar todas las entradas en la salida Esto inactiva todos los enlaces/pedidos en la mayoría de los interpretes Para mayor información:

41 A9 Uso de Componentes con Vulnerabilidades Conocidas En teoría, debiera ser fácil distinguir si estas usando un componente o biblioteca vulnerable Más aún, no todas las bibliotecas usan un sistema numérico de versiones entendible. No todas las vulnerabilidades son reportadas a un centro de intercambio fácil de buscar, Sitios como CVE y NVD se están volviendo fáciles de buscar.

42 A9 Uso de Componentes con Vulnerabilidades Conocidas Para determinar si es vulnerable necesita buscar en estas bases de datos, así como también mantenerse al tanto de la lista de correos del proyecto Debe evaluar cuidadosamente si es o no vulnerable revisando si su código utiliza la parte del componente vulnerable y si el fallo puede resultar en un impacto

43 Cómo evitar? Uso de Componentes vuln. Identificar todos los componentes y la versión que están ocupando, incluyendo dependencias Revisar la seguridad del componente en bases de datos públicas, lista de correos del proyecto, y lista de correo de seguridad, y mantenerlos actualizados. Establecer políticas de seguridad que regulen el uso de componentes

44 A10 APIs no protegidas adecuadamente Los atacantes pueden realizar ingeniería reversa de las APIs, examinando el código del cliente o monitoreando conexiones Las APIs (microservices, services, endpoints) pueden ser vulnerables al rango completo de ataques Las herramientas estáticas no permiten verificar aún el acceso y manualmente puede ser difícil de analizar FSI Seguridad en Aplicaciones Web 45

45 Riesgos adicionales a considerar El Top 10 cubre mucho, pero hay otros riesgos que deberían considerarse Algunos de estos han aparecido en versiones previas del OWASP Top 10, y otros no, incluyendo nuevas técnicas de ataque que están siendo identificadas todo el tiempo FSI Seguridad en Aplicaciones Web 46

46 Otros riesgos de seguridad de aplicación importantes Clickjacking (técnica de ataque recién descubierta en el 2008) Denegación de servicio (estuvo en el Top 10 del Entrada A9) Ejecución de archivos maliciosos (estuvo en el Top 10 del Entrada A3) Falta de detección y respuesta a las intrusiones Fallas de concurrencia FSI Seguridad en Aplicaciones Web 47

47 Otros riesgos de seguridad de aplicación (2) Filtración de información y Manejo inapropiado de errores (fue parte del Top 10 del Entrada A6) Registro y responsabilidad insuficientes (relacionado al Top 10 del Entrada A6) FSI Seguridad en Aplicaciones Web 48

48 Resumen RIESGO RIESGO Agentes de Amenaza Vectores de Ataque Agentes Explotabilidad de Vectores de Ataque Prevalencia Debilidades de Seguridad Detección Impactos Debilidades Técnicos de Seguridad Impacto Impactos al negocio Impactos Técnicos Impactos al negocio A1-Inyección Específico de la Aplicación Amenaza Explotabilidad Prevalencia FÁCIL COMÚN PROMEDIO SEVERO Detección Específico de la Aplicación Impacto Específico de la Específico de la A2-Autenticación PROMEDIO DIFUNDIDA PROMEDIO SEVERO Aplicación Aplicación A1-Inyección Específico de la Aplicación FÁCIL COMÚN PROMEDIO SEVERO Específico de la Aplicación A3-XSS Específico de la Aplicación PROMEDIO MUY DIFUNDIDA FÁCIL MODERADO Específico de la Aplicación A2-Autenticación Específico de Específico la de la Aplicación PROMEDIO DIFUNDIDA A4-Ref. Directa insegura FÁCIL COMÚN FÁCIL MODERADO PROMEDIO Específico de la SEVERO Específico de la Aplicación Aplicación Aplicación Específico de la Específico de la A5-Defectuosa Configuración FÁCIL COMÚN FÁCIL MODERADO A3-XSS Aplicación Específico de la Aplicación PROMEDIO MUY DIFUNDIDA FÁCIL Aplicación MODERADO Específico de la Aplicación A6-Exposición de Datos Sensibles Específico de la Aplicación DIFÍCIL POCO COMÚN PROMEDIO SEVERO Específico de la Aplicación A4-Ref. Directa insegura Específico de la Aplicación FÁCIL COMÚN FÁCIL MODERADO Específico de la Aplicación Específico de la Específico de la A7-Ausencia Control Funciones FÁCIL COMÚN PROMEDIO MODERADO Aplicación Aplicación Específico de la Específico de la A8-CSRF A5-Defectuosa Configuración PROMEDIO COMÚN FÁCIL MODERADO Aplicación Específico de la Aplicación FÁCIL COMÚN FÁCIL Aplicación MODERADO Específico de la Aplicación Específico de la Específico de la A9-Componentes Vulnerables PROMEDIO DIFUNDIDA DIFÍCIL MODERADO Aplicación Aplicación A6-Exposición de Datos Sensibles Específico de la Aplicación DIFÍCIL POCO COMÚN PROMEDIO SEVERO Específico de la Aplicación Específico de la Específico de la A10-Redirecciones no validadas PROMEDIO POCO COMÚN FÁCIL MODERADO Aplicación Aplicación A7-Ausencia Control Funciones Específico de la Aplicación FÁCIL COMÚN PROMEDIO MODERADO Específico de la Aplicación A8-CSRF Específico de la Aplicación PROMEDIO COMÚN FÁCIL MODERADO Específico de la Aplicación A9-Componentes Vulnerables Específico de la Aplicación PROMEDIO DIFUNDIDA DIFÍCIL MODERADO Específico de la Aplicación FSI Seguridad en Aplicaciones Web 49 A10-Redirecciones no validadas Específico de la Aplicación PROMEDIO POCO COMÚN FÁCIL MODERADO Específico de la Aplicación

49 Referencias G. McGraw, Software Security, Addison-Wesley, 2006 OWASP Top Ten 2013 FSI Seguridad en Aplicaciones Web 50