Redes wifi

Diseño de aplicaciones web siguiendo el concepto hack-resilient
Vicente Aguilera Díaz
Internet Security Auditors 21/06/2011 – Barcelona 22/06/2011 – Madrid

c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01info@isecauditors.com I www.isecauditors.com

Diseño de aplicaciones web siguiendo el concepto hack-resilient

Agenda
1. Concepto hack-resilient
2. La importancia de la seguridad en la capa de aplicación 3. Áreas clave en la seguridad de aplicaciones

4. Conclusiones y recomendaciones
5. Referencias

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 2

Diseño deaplicaciones web siguiendo el concepto hack-resilient

1│

Concepto hack-resilient

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 3

Diseño de aplicaciones web siguiendo el concepto hack-resilient

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 4

Diseño de aplicaciones web siguiendo el concepto hack-resilient

¿Qué entendemos comosoftware seguro?

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 5

Diseño de aplicaciones web siguiendo el concepto hack-resilient

2│

La importancia de la seguridad en la capa de aplicación

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 6

Diseño de aplicaciones web siguiendo el concepto hack-resilient

¿Por qué ha cobradotanta relevancia?
• Proliferación de modelos de negocio en la web.
• Las aplicaciones web resultan muy atractivas. • Según Gartner:

• El 66% de las aplicaciones son vulnerables.
• El 75% de los ataques se focalizan en la capa de aplicación.

• Nuevos requerimientos normativos.

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 7

Diseño de aplicaciones websiguiendo el concepto hack-resilient

¿Por qué ha cobrado tanta relevancia?

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 8

Diseño de aplicaciones web siguiendo el concepto hack-resilient

Todo es posible en la Web…

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 9

Diseño de aplicaciones web siguiendo el concepto hack-resilient¿Qué podemos hacer para protegernos?
• Conocer las amenazas y las soluciones
• Definir niveles de riesgo/confianza • Verificar los requerimientos de seguridad

• Adoptar una iniciativa de seguridad en el ciclo de vida

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 10

Diseño de aplicaciones web siguiendo el concepto hack-resilient

OWASP ASVS
ApplicationSecurity Verification Standard

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 11

Diseño de aplicaciones web siguiendo el concepto hack-resilient

3│

Áreas clave en la seguridad de aplicaciones

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 12

Diseño de aplicaciones web siguiendo el concepto hack-resilient

Áreas conrequerimientos de seguridad
1 Arquitectura de seguridad 8 Gestión de errores y logging

2 Autenticación
3 Gestión de sesiones 4 Control de acceso

9 Protección de datos

10 Seguridad en la comunicación
11 Seguridad en HTTP 12 Configuración de seguridad

5 Validación de entradas
6 Codificación de salida 7 Criptografía

13 Búsqueda de código malicioso
14 Seguridad interna

© I n t e r n et S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 13

Diseño de aplicaciones web siguiendo el concepto hack-resilient

A1. Arquitectura de seguridad
•
• •

Thinking Evil™
Establecer un conjunto de principios y máximas de seguridad. Contemplar los documentación. aspectos de seguridad en la

© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 14...