Java Jsp
Páginas: 39 (9633 palabras)
Publicado: 1 de agosto de 2011
Preguntas Frecuentes sobre Seguridad en Aplicaciones Web (OWASP FAQ)
Enero 25, 2005
Autor: Sangita Pakala Traducción: Alberto Pena Leiras Edición: Juan Carlos Calderón Rojas
Preguntas Frecuentes Sobre Seguridad en Aplicaciones Web (OWASP FAQ) – Enero 2005INTRODUCCIÓN..................................................................................................................................5 1. 2. ¿Sobre qué tratan estas preguntas frecuentes?...............................................................5 ¿Cuáles son las amenazas más usuales en las aplicaciones Web? ...........................5
3. ¿Qué libros son aconsejables para aprender técnicas o prácticas de programación segura?.........................................................................................................................5 4. Hay algún programa de entrenamiento sobre programación segura al cual pueda atender?.....................................................................................................................................31 SOBRE INICIO DE SESIÓN (LOGIN) .......................................................................................6 5. ¿Qué aspectos deborecordar a la hora de diseñar las páginas de inicio de sesión (login)?.........................................................................................................................................6 6. ¿Es realmente necesario redirigir al usuario a una nueva página después del inicio de sesión?.....................................................................................................................................6 7. 8. ¿Cómo funciona la técnica MD5 con sal (salted-MD5)?.................................................7 ¿Como puede ser explotada mi función de recordatorio de contraseña?...............7
9. En la función de recordar contraseña, ¿Es mejor mostrar la contraseña o permitir al usuarioreestablecerla?..................................................................................................7 10. ¿Existe riesgo en enviar la nueva contraseña al correo electrónico autorizado por el usuario? ........................................................................................................................................8 11. ¿Cuál es la mejor forma de diseñar la función de recordatorio de contraseñas? 8 12. ¿Cómo me protejo ante ataquesautomatizados para adivinar contraseñas? ¿Debo simplemente bloquear el usuario después de 5 intentos fallidos?........................8 13. ¿Y si el atacante a plantado un registrador de tecleos (Keystroke logger) en la computadora cliente? ¿Puedo contrarestar esto?......................................................................9 14. Mi sitio podrá usarse desde máquinas compartidaspúblicamente como en bibliotecas. ¿Qué precauciones debo tomar?..............................................................................9 INYECCIÓN DE SQL.........................................................................................................................11 15. ¿Qué es la inyección deSQL?................................................................................................11 16. Además del usuario y contraseña, ¿qué otras variables son candidatas para la inyección de SQL en nuestras aplicaciones? .............................................................................12 17. ¿Cómo evitamos ataques de inyección de SQL? ............................................................12 18. Estoy usando validación de la entrada mediante JavaScripts de Cliente, ¿no esesto suficiente?.....................................................................................................................................13 19. Estoy usando procedimientos almacenados para la autenticación, ¿soy vulnerable?.............................................................................................................................................13 20. ¿Los...
Enero 25, 2005
Autor: Sangita Pakala Traducción: Alberto Pena Leiras Edición: Juan Carlos Calderón Rojas
Preguntas Frecuentes Sobre Seguridad en Aplicaciones Web (OWASP FAQ) – Enero 2005INTRODUCCIÓN..................................................................................................................................5 1. 2. ¿Sobre qué tratan estas preguntas frecuentes?...............................................................5 ¿Cuáles son las amenazas más usuales en las aplicaciones Web? ...........................5
3. ¿Qué libros son aconsejables para aprender técnicas o prácticas de programación segura?.........................................................................................................................5 4. Hay algún programa de entrenamiento sobre programación segura al cual pueda atender?.....................................................................................................................................31 SOBRE INICIO DE SESIÓN (LOGIN) .......................................................................................6 5. ¿Qué aspectos deborecordar a la hora de diseñar las páginas de inicio de sesión (login)?.........................................................................................................................................6 6. ¿Es realmente necesario redirigir al usuario a una nueva página después del inicio de sesión?.....................................................................................................................................6 7. 8. ¿Cómo funciona la técnica MD5 con sal (salted-MD5)?.................................................7 ¿Como puede ser explotada mi función de recordatorio de contraseña?...............7
9. En la función de recordar contraseña, ¿Es mejor mostrar la contraseña o permitir al usuarioreestablecerla?..................................................................................................7 10. ¿Existe riesgo en enviar la nueva contraseña al correo electrónico autorizado por el usuario? ........................................................................................................................................8 11. ¿Cuál es la mejor forma de diseñar la función de recordatorio de contraseñas? 8 12. ¿Cómo me protejo ante ataquesautomatizados para adivinar contraseñas? ¿Debo simplemente bloquear el usuario después de 5 intentos fallidos?........................8 13. ¿Y si el atacante a plantado un registrador de tecleos (Keystroke logger) en la computadora cliente? ¿Puedo contrarestar esto?......................................................................9 14. Mi sitio podrá usarse desde máquinas compartidaspúblicamente como en bibliotecas. ¿Qué precauciones debo tomar?..............................................................................9 INYECCIÓN DE SQL.........................................................................................................................11 15. ¿Qué es la inyección deSQL?................................................................................................11 16. Además del usuario y contraseña, ¿qué otras variables son candidatas para la inyección de SQL en nuestras aplicaciones? .............................................................................12 17. ¿Cómo evitamos ataques de inyección de SQL? ............................................................12 18. Estoy usando validación de la entrada mediante JavaScripts de Cliente, ¿no esesto suficiente?.....................................................................................................................................13 19. Estoy usando procedimientos almacenados para la autenticación, ¿soy vulnerable?.............................................................................................................................................13 20. ¿Los...
Leer documento completo
Regístrate para leer el documento completo.