Para Omatech la seguridad es uno de los aspectos m\u00e1s importantes a tener en cuenta en el desarrollo de las aplicaciones.
\nOWASP , significa Proyecto de Seguridad de aplicaciones WEB en ingl\u00e9s y se trata de una organizaci\u00f3n sin \u00e1nimo de lucro, dedicada a proporcionar informaci\u00f3n pr\u00e1ctica e imparcial sobre la seguridad de las aplicaciones. Esta comunidad en l\u00ednea produce publicaciones, metodolog\u00eda y tecnolog\u00edas en el campo de la seguridad de las aplicaciones WEB principalmente dirigida a desarrolladores de software, testesrs de software y especialistas en seguridad.
\nEstos riesgos sirven para orientar a nuestros desarrolladores y profesionales de la seguridad sobre las vulnerabilidades m\u00e1s cr\u00edticas que se encuentran com\u00fanmente las aplicaciones WEB, y sus recomendaciones para solucionarlas.
\nEl Top 10 de OWASP es la lista de los 10 riesgos de aplicaciones web m\u00e1s vistas que se actualizaron en 2017 y son:<\/p>\n
Es una vulnerabilidad de las aplicaciones WEB, que afecta directamente a las bases de datos de la aplicaci\u00f3n. Una inyecci\u00f3n SQL, LDAP o CRLF consiste en insertar o en inyectar c\u00f3digo SQL malicioso dentro de c\u00f3digo SQL para alterar el funcionamiento normal y hacer que se ejecute el c\u00f3digo \u201cmalicioso\u201d dentro del sistema.<\/p>\n
Las vulnerabilidades relacionadas con la p\u00e9rdida de autenticaci\u00f3n son cr\u00edticas en la seguridad de las aplicaciones y en especial de las aplicaciones WEB, ya que permiten a un usuario suplantar la personalidad de otro. Existen muchas situaciones en la que nos encontramos ante una aplicaci\u00f3n WEB vulnerable a este tipo de ataque, pero la mayor parte de las veces se encuentran en la gesti\u00f3n de las contrase\u00f1as, la expiraci\u00f3n de sesiones o el proceso de cierre de sesi\u00f3n. <\/p>\n
Las aplicaciones WEB que no protegen adecuadamente los datos confidenciales, como datos financieros, nombres de usuario y contrase\u00f1as, o informaci\u00f3n de salud, podr\u00edan permitir a los atacantes acceder a dicha informaci\u00f3n para cometer fraudes o robar identidades.<\/p>\n
Este es un ataque contra una aplicaci\u00f3n web que analiza la entrada XML *. Esta entrada puede hacer referencia a una entidad externa, intentando explotar una vulnerabilidad en el analizador. Una \u00abentidad externa\u00bb en este contexto se refiere a una unidad de almacenamiento, como un disco duro. Se puede enga\u00f1ar a un analizador XML para que env\u00ede datos a una entidad externa no autorizada, que puede pasar datos confidenciales directamente a un atacante.<\/p>\n
>
\nEl control de acceso se refiere a un sistema que controla el acceso a la informaci\u00f3n o la funcionalidad. Los controles de acceso defectuosos permiten a los atacantes eludir la autorizaci\u00f3n y realizar tareas como si fueran usuarios privilegiados, como los administradores. Por ejemplo, una aplicaci\u00f3n web podr\u00eda permitir a un usuario cambiar la cuenta en la que inici\u00f3 sesi\u00f3n simplemente cambiando parte de una URL, sin ninguna otra verificaci\u00f3n.<\/p>\n
Este riesgo se refiere a la implementaci\u00f3n incorrecta de los controles destinados a mantener seguros los datos de la aplicaci\u00f3n, como la mala configuraci\u00f3n de los encabezados de seguridad, los mensajes de error que contienen informaci\u00f3n confidencial (fuga de informaci\u00f3n) y no los parches o los sistemas de actualizaci\u00f3n, los marcos y los componentes.<\/p>\n
Los ataques XSS tienen como objetivo el c\u00f3digo (tambi\u00e9n llamado secuencia de comandos) de una p\u00e1gina web que se ejecuta en el navegador del usuario, no en el servidor del sitio web. Cuando el usuario es atacado, se introducen secuencias de comandos maliciosas en su navegador que intentar\u00e1n da\u00f1ar su equipo. La variedad de ataques XSS es pr\u00e1cticamente ilimitada, pero los m\u00e1s comunes suelen ser la recopilaci\u00f3n de datos personales, el redireccionamiento de las v\u00edctimas a sitios controlados por hackers o el control del equipo por parte de estos.<\/p>\n
La deserializaci\u00f3n insegura es una nueva vulnerabilidad propuesta por la comunidad de OWASP que aparece por primera vez en OWASP Top 10. Se trata de una vulnerabilidad que podr\u00eda permitir la ejecuci\u00f3n remota de c\u00f3digo en servicios web.<\/p>\n
Con frecuencia, los desarrolladores no saben qu\u00e9 componentes de c\u00f3digo abierto y de terceros est\u00e1n en sus aplicaciones, lo que dificulta la actualizaci\u00f3n de los componentes cuando se descubren nuevas vulnerabilidades. Los atacantes pueden explotar un componente inseguro para hacerse cargo del servidor o robar datos confidenciales.
\nEl an\u00e1lisis de la composici\u00f3n del software realizado al mismo tiempo que el an\u00e1lisis est\u00e1tico puede identificar versiones inseguras de componentes.
\nEst\u00e1 vulnerabilidad est\u00e1 motivada en parte por el uso extendido de m\u00faltiples componentes en aplicaciones web as\u00ed como el crecimiento que est\u00e1 teniendo IoT y las dificultades que presenta dicho modelo en cuanto a gesti\u00f3n de actualizaciones.<\/p>\n
El tiempo para detectar una violaci\u00f3n se mide con frecuencia en semanas o meses. El registro insuficiente y la integraci\u00f3n ineficaz con los sistemas de respuesta a incidentes de seguridad permiten a los atacantes girar a otros sistemas y mantener amenazas persistentes.<\/p>\n
OWASP es el est\u00e1ndar emergente para la seguridad de aplicaciones Web.<\/strong>. <\/p>\n https:\/\/www.owasp.org\/<\/p>\n","protected":false},"excerpt":{"rendered":" Para Omatech la seguridad es uno de los aspectos m\u00e1s importantes a tener en cuenta en el desarrollo de las aplicaciones. OWASP , significa Proyecto de Seguridad de aplicaciones WEB en ingl\u00e9s y se trata de una organizaci\u00f3n sin \u00e1nimo de lucro, dedicada a proporcionar informaci\u00f3n pr\u00e1ctica e imparcial sobre la seguridad de las aplicaciones.<\/p>\n","protected":false},"author":1,"featured_media":3882,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[73],"tags":[],"class_list":{"0":"post-1699","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-seguridad"},"yoast_head":"\n