OWASP
Páginas: 3 (550 palabras)
Publicado: 29 de agosto de 2013
Abril 2013
OWASP – Top 10
¿Qué es OWASP?
OWASP (Open Web Application Security Project) es un proyecto
Open Source que busca mejorar la seguridad de aplicaciones Web
mediante la generaciónde artículos, metodologías, documentación,
herramientas y tecnologías.
El OWASP tiene cuenta con una gran cantidad de documentos
enfocados a mejorar la seguridad, entre los más populares están lossiguientes:
- OWASP guide
- OWASP Code Review Project
- OWASP Top 10 Awarness document
- OWASP WebGoat Project
2
OWASP Top 10
• A1 Injection
• A2 Broken Authentication and SessionManagement (was formerly A3)
• A3 Cross-Site Scripting (XSS) (was formerly A2)
• A4 Insecure Direct Object References
• A5 Security Misconfiguration (was formerly A6)
• A6 Sensitive Data Exposure (mergedfrom former A7 Insecure Cryptographic
Storage and former A9 Insufficient Transport Layer Protection)
• A7 Missing Function Level Access Control (renamed/broadened from former A8
Failure toRestrict URL Access)
• A8 Cross-Site Request Forgery (CSRF) (was formerly A5)
• A9 Using Known Vulnerable Components (new but was part of former A6 – Security
Misconfiguration)
• A10 UnvalidatedRedirects and Forwards
3
A1-Injection
• Ocurre cuando se envían datos no confiables a la
aplicación.
• Explotar este tipo de vulnerabilidaes es sencillo.
• Ejemplo:
–String query = "SELECT * FROMaccounts WHERE
custID='" + request.getParameter("id") +"'";
– http://example.com/app/accountView?id=' or '1'='1
4
A2-Broken Authentication and Session
Management
• Errores en laimplementación de authenticación y
manejo de sesiones.
• Normalmente se presenta cuando se construyen
estrategias personalizadas de manejo de autenticación
y sesiones sin seguir los controles adecuados.
•Permite impersonalizar usuarios.
5
A3-Cross-Site Scripting (XSS)
• Una de las vulnerabilidades más extendidas.
• Ocurre cuando datos enviados por el usuario no son
correctamente validados.
•...
OWASP – Top 10
¿Qué es OWASP?
OWASP (Open Web Application Security Project) es un proyecto
Open Source que busca mejorar la seguridad de aplicaciones Web
mediante la generaciónde artículos, metodologías, documentación,
herramientas y tecnologías.
El OWASP tiene cuenta con una gran cantidad de documentos
enfocados a mejorar la seguridad, entre los más populares están lossiguientes:
- OWASP guide
- OWASP Code Review Project
- OWASP Top 10 Awarness document
- OWASP WebGoat Project
2
OWASP Top 10
• A1 Injection
• A2 Broken Authentication and SessionManagement (was formerly A3)
• A3 Cross-Site Scripting (XSS) (was formerly A2)
• A4 Insecure Direct Object References
• A5 Security Misconfiguration (was formerly A6)
• A6 Sensitive Data Exposure (mergedfrom former A7 Insecure Cryptographic
Storage and former A9 Insufficient Transport Layer Protection)
• A7 Missing Function Level Access Control (renamed/broadened from former A8
Failure toRestrict URL Access)
• A8 Cross-Site Request Forgery (CSRF) (was formerly A5)
• A9 Using Known Vulnerable Components (new but was part of former A6 – Security
Misconfiguration)
• A10 UnvalidatedRedirects and Forwards
3
A1-Injection
• Ocurre cuando se envían datos no confiables a la
aplicación.
• Explotar este tipo de vulnerabilidaes es sencillo.
• Ejemplo:
–String query = "SELECT * FROMaccounts WHERE
custID='" + request.getParameter("id") +"'";
– http://example.com/app/accountView?id=' or '1'='1
4
A2-Broken Authentication and Session
Management
• Errores en laimplementación de authenticación y
manejo de sesiones.
• Normalmente se presenta cuando se construyen
estrategias personalizadas de manejo de autenticación
y sesiones sin seguir los controles adecuados.
•Permite impersonalizar usuarios.
5
A3-Cross-Site Scripting (XSS)
• Una de las vulnerabilidades más extendidas.
• Ocurre cuando datos enviados por el usuario no son
correctamente validados.
•...
Leer documento completo
Regístrate para leer el documento completo.