ESTÁNDAR DE CODIFICACIÓN JEE CHECKLIST

Documentos relacionados
ESTÁNDAR DE CODIFICACIÓN JEE CHECKLIST

ESTÁNDAR DE CODIFICACIÓN JEE CHECKLIST

Amenazas a Aplicaciones Web Ing. Mauricio Andrade Guzmán. Subdirección de Seguridad de la Información/UNAM-CERT

Computación Web (Curso 2013/2014)

Desarrollo Seguro. Programa de Estudio.

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Bloque I: Seguridad web

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Seguridad Web. Álvaro Gómez Giménez UAM.NET. Álvaro Gómez Giménez (UAM.NET) Seguridad Web / 19

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

SEGURIDAD EN APLICACIONES WEB. Autor: Siler Amador Donado

GENEXUS & OWASP TOP 10

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Seguridad Web: SQL Injection & XSS

Seguridad Web: SQL Injection & XSS

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Instalación y configuración del cliente VPN en

auditorías de seguridad

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Seguridad aplicaciones (Solución RASP).

COMUNICACIÓN DE LA CONTRATACIÓN LABORAL A TRAVÉS DE INTERNET MANUAL DE USUARIO ABRIL 2016 SERVICIO PÚBLICO DE EMPLEO ESTATAL

Auditoría Técnica de Seguridad de Aplicaciones Web

Instalación y configuración del cliente VPN en Windows

COMUNICACIÓN DE LA CONTRATACIÓN LABORAL A TRAVÉS DE INTERNET

Curso Online. Desarrollo Seguro en Java

Seguridad en Aplicaciones Web

Aspectos Básicos de la Seguridad en Aplicaciones Web

PROGRAMACIÓN SEGURA EN PHP Héctor A. Mantellini VaSlibre CODIGO LIMPIO CODIGO SEGURO.

Sincronización correo electrónico con. Dispositivos Android. Manual de usuario

Máster en Ciberseguridad. Pénsum Académico

Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica «BOE»

Acceso remoto por VPN

Testing de Seguridad de Aplicaciones Web

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Administración de Sistemas Gestores de Bases de Datos. Tema 2. Instalación y configuración de MySQL. Profesor: Juan Ignacio Contreras 1

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

TEMARIO ESPECÍFICO PROVISIONAL (OPE 2016) CATEGORÍA: TÉCNICO/A ESPECIALISTA INFORMÁTICA

HISPATEC - SII HISPATEC - SII. Introducción. 1. Configuraciones del Nuevo Programa Hispatec - SII Parámetros de Configuración

Oracle 10g: Creación de Aplicaciones J2EE

Seguridad en Aplicaciones Web

Pliego de Bases Técnicas

La descarga del instalador de Metaposta Delivery está disponible en la página web de Metaposta.

Introducción n a Apache Tomcat 5.5

.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.

Capítulo 2.- Vulnerabilidades en aplicaciones web.

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

Instalación de cliente VPN para acceso remoto en MAC OSX

Guía externa de utilización de la herramienta de gestión de servicios (itop)

CONFIGURACIÓN RESERVAS ON-LINE

ADA i 24/7 CICLO GESTIÓN Y MONITORIZACIÓN DE LA CIBERSEGURIDAD

Sistemas de apoyo a la Gestión de Servicios Urbanos, basados en Software Libre

Programa Formativo. Código: Curso: Lenguaje PHP y Cake PHP Framework Modalidad: ONLINE Duración: 60h.

ARQUITECTO DE SOFTWARE ESB TIBCO (CONSULTOR SÉNIOR ESB TIBCO)

Seguridad en Aplicaciones Web

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Manual del usuario. Servicio de Sello Electrónico y Compulsa Electrónica

CONSUMO DE SERVICIOS WEB (SW) DISPONIBLES EN EL BUS DE SERVICIOS GUBERNAMENTALES (BSG)

Transcripción:

9 de Mayo de 2016 Versión 1.0.0

APLICACIÓN MIGRADA CONVENCIONES DE CÓDIGO EN DESARROLLO JEE Se le ha asignado a la aplicación un código identificativo único OTRAS CONSIDERACIONES FICHERO DE LOG Se especifica el logging-profile en el fichero MANIFEST.MF FICHERO DE PROPIEDADES Las propiedades relacionadas con sistemas se guardan en un fichero de propiedades externo a la aplicación La nomenclatura del fichero es la adecuada. La nomenclatura de las propiedades es la adecuada. DATASOURCES El datasource se define vía jndi La variable jndi sigue la nomenclatura especificada VERSIONADO El software entregado especifica un número de versión y corresponde con el versionado del código fuente. Esta versión deberá ser posterior a la del último despliegue en producción. EMPAQUETADO El nombre del distribuible sigue la nomenclatura especificada. CÓDIGO FUENTE Se ha proporcionado el código fuente El ear proporcionado coincide con el ear generado desde el código fuente. DOCUMENTACIÓN Existencia de DRF y Análisis con información coherente como indican las normas de AMAP Existencia de documentación de pruebas y Manual de usuario como indican las normas de AMAP (no necesario si no es despliegue de producción) En el Inventario de Aplicaciones (INVAPP) se debe indicar todos los componentes amap utilizados CONSULTAS A BASE DE DATOS Las consultas serán de un rendimiento razonable, en caso de requerirse consultas que requieran de una cantidad masiva de registros o con una mezcla de tablas poco convencional (no unida Estándar de Codificación J2EE (Checklist) 2

por claves ajenas, campos indexados o similares) deberán ser indicadas al grupo de arquitectura para su validación. VERSIÓN DE LOS COMPONENTES AMAP Los componentes AMAP empleados en las aplicaciones que estén recogidos en el POM padre, no deberán indicar la versión. Para los componente no recogidos en el POM padre, será recomendable el uso de un rango para indicar la versión. AMAP-GESTOR-DOCUMENTAL Se debe utilizar el gestor documental versión 2.x (indicar en el resumen el incumplimiento) SEGURIDAD INYECCIÓN SQL No deben existir generación de consultas SQL basada en la concatenación directa (sin comprobación) de parámetros obtenidos de la petición. Utilizar en su lugar procedimientos preparados con variables parametrizadas. CROSS-SITE SCRIPTING (XSS) No deben existir generación de elementos de presentación (html y javascript especialmente) basada en la utilización directa (sin comprobación) de parámetros obtenidos de la petición. JSESSIONID En el web.xml para que no aparezca en la url el valor jsessionid, deberá haber una entrada como sigue: <session-config> </session-config> <tracking-mode>cookie</tracking-mode> No aplica para aplicaciones que no tengan sesión (ejem: web services) CROSS-SITE REQUEST FORGERY (CSRF) / PUBLICACIÓN DE INFORMACIÓN SENSIBLE Las operaciones marcadas como críticas por parte del analista/usuario (que comprometa los datos más sensibles o impliquen una operación que tenga implicaciones importantes) se añadirá a la petición un captcha, token aleatorio o mecanismo de seguridad adicional similar que será comprobado en la parte servidora, para asegurar el origen no fraudulento de la petición. REFERENCIAS A OBJETOS INSEGURAS Para los datos críticos indicados por el analista/usuario no debe haber parámetros (GET o POST) con información directa de la base de datos (IDs de BBDD, ficheros, directorios, claves, etc.) sin que el usuario tenga autorización suficiente para los mismos. Estándar de Codificación J2EE (Checklist) 3

Conexión con LDAP Comprobar que al conectar con LDAP se le pasa el usuario y contraseña para evitar Anonimous Binding * NOTA: las normas en negrita son bloqueantes Estándar de Codificación J2EE (Checklist) 4

1..1. RESUMEN Estándar de Codificación J2EE (Checklist) 5

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback