SlideShare une entreprise Scribd logo

Owasp top 10

Télécharger en tant que PPTX, PDF
T
tabai

Presentación en el OWASP Day Guatemala 2011

Technologie
1  sur  41
Las diezvulnerabilidades web másrelevantes Eduardo Castellanos eduardo.castellanos@owasp.org
Eduardo Castellanos 3 años de experiencia en desarrollo 3 años de experiencia en seguridad Analista de seguridadpara Verizon Business Security Solutions A través de SISAP Asociado de (ISC)² orientado a CISSP Miembro del capítulo de OWASP Guatemala
Su “perímetro” de seguridadtienegrandesagujeros en la capa de aplicaciones |3 Código de AplicaciónElaborado a la Medida Capa de Aplicaciones Bases de datis Legacy Systems Servicios Web Directorios RRHH Cobros ATAQUE A LA APLICACIÓN Servidor de App Servidor Web SO Endurecido Capa de Red Firewall Firewall No se puedenutilizarmecanismos de protección de red paradetener o detetctarattaques de la capa de aplicación
OWASP Top 10
A1 – Inyección
Ejemplo: ataque de inyección SQL Select user_informationfrom user_tablewhere username='input username'and password='input password' Select user_informationfrom user_tablewhere username= '' or 1=1 -- ' and password='abc'
¿Comodo? Marzo 2011 Un hacker usó inyección SQL para entrar a un sistema de un afiliado de Comodo. Comodo es un CA. Ellos firman certificados SSL para garantizar la seguridad de las comunicaciones. Resultado El hacker obtuvo las credenciales paraentrar a los sistemas para generar certificados. Generó certificados para mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org y login.live.com
A1 – Evitando la Inyección Recomendaciones Evitarusar un interprete, o Usarunainterfazquepermitaatar (bind) variables (e.g., prepared statements, o stored procedures) Codificartodaslasentradas del usuario antes de pasarlas al interprete. Referencias SQLi Prevention Cheat Sheet http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
A2 – Cross-Site Scripting (XSS)
XSS = Cross-site Scripting Vulnerabilidad de las aplicaciones web Permite la inyección de código en páginas que serán vistas por otros usuarios XSS = el nuevo buffer overflow Javascript = el nuevo Shell Code
Samy Worm 11 Primer Worm de XSS EscritoporSamyKamkar Afectó a MySpace.com En menos de 20 horasafectó a más de 1 millón de usuarios
12
Browser Exploitation Framework
Recomendaciones Eliminar la falla Defenderse de la falla Recomendación principal: Codificartodaslassalidasquecontengandatosproporcionadospor el usuario (Usar OWASP’s ESAPI) http://www.owasp.org/index.php/ESAPI Para grandesporciones de HTML: OWASP’s AntiSamyhttp://www.owasp.org/index.php/AntiSamy Referencias Cross-site Scripting Cheat Sheethttp://www.owasp.org/index.php/XSS_(Cross Site Scripting) Prevention Cheat Sheet (AntiSamy) A2 – Evitando XSS
A3 – Pérdida de Autenticación y Gestión de Sesiones
Ataque de Fijación de Sesión
A3 – Evitando la Pérdida de Autenticación y Gestión de Sesiones Verificar la arquitectura La autenticacióndebe ser simple, centralizada y estandarizada. Use el identificador de sesiónproporcionadopor el contenedor Aseguresequelascredenciales y el identificador de sesiónestanprotegidos con SSL todo el tiempo. Verificar la implementación Verificarque el cierre de sesión la destruya. Verificarlasfunciones de autenticación Authentication Cheat Sheet http://www.owasp.org/index.php/Authentication_Cheat_Sheet
A4 – ReferenciaDirectaInsegura a Objetos
Ejemplo:ReferenciaDirectaInsegura a Objetos El atacante se dacuentaque el identificador de sucuentaes 6534 ?acct=6534 Lo cambia a un numero similar… ?acct=6535 El atacantepuedever la información de la víctima https://www.onlinebank.com/user?acct=6534
A4 – Evitando la ReferenciaDirectaInsegura a Objetos ,[object Object]
Hacer un mapeo temporal (1,2,3)
ESAPI proveeestafuncionalidad: IntegerAccessReferenceMap& RandomAccessReferenceMap
Validar la referenciadirecta
Verificar los permisos del usuario,[object Object]
Ejemplo: CSRF El atacantearmaunatrampa en algun website en Internet Aplicación con vulnerabilidad CSRF Unaetiqueta <img> contiene el ataque contra el sitio vulnerable Mientrasesta en unasesión en el sitio vulnerable, la víctimavisita el sitiomalo El sitio vulnerable miraunapetición vulnerable de la víctima y ejecuta la acciónsolicitada <imgsrc=http://bank.com/transferir?cuenta=2323&cantidad=10000&dest=4444 />
A5 – Evitando CSRF ,[object Object]
Requerirconfirmación con la contraseña u otrométodoCSRF Cheat Sheet ,[object Object],[object Object]
Defectos en la Configuración de Seguridad BD Finance Transactions Accounts Administration Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code App Configuration Development Framework App Server QA Servers Web Server Hardened OS Atacante Test Servers Source Control
A6 – EvitandoDefectos en la Configuración de Seguridad ,[object Object]
Seguirunaguía de configuraciónsegura
Establecer un control de cambios
Verificar la implementación
Escaneos,[object Object]
Cifrar información de clientes Información de clientes, 77 Milliones comprometidos.(probablemente tarjetas de crédito también) 28
A7 – EvitandoAlmacenamientoCriptográficoInseguro ,[object Object]
Aseguresequelascopias de los datosestandebidamenteprotegidas
Asegurese de usarcorrectamentealgorítmosestándares con llavesfuertes
Almacenelascontraseñas con un hash + sal,[object Object]
Ejemplo de Falla de Restricción de Acceso a URL El atacante se dacuentaque el URL define surol /user/getAccounts Lo cambia a otrodirectorio (rol) /admin/getAccounts, o /manager/getAccounts El atacantemiralascuentas de otrosusuarios
A9 – ProtecciónInsuficiente en la Capa de Transporte
Firesheep 33

Recommandé

Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadGabriel Marcos
 
CSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosspankito
 
sistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar websistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar webbrenda carolina
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 

Recommandé

Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadGabriel Marcos
 
CSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCSP Level 2: Defensa en profundidad para aplicaciones Web
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosspankito
 
sistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar websistemas de seguridad para desarrollar web
sistemas de seguridad para desarrollar webbrenda carolina
 
Temas owasp
Temas owaspTemas owasp
Temas owaspFernando Solis
 
Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]
Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]
Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]Software Guru
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Mitigando Eventualidades de Seguridad en Web 2.0 + Semántica
Mitigando Eventualidades de Seguridad en Web 2.0 + SemánticaMitigando Eventualidades de Seguridad en Web 2.0 + Semántica
Mitigando Eventualidades de Seguridad en Web 2.0 + SemánticaSoftware Guru
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
ESET Secure Authentication
ESET Secure AuthenticationESET Secure Authentication
ESET Secure AuthenticationESET Latinoamérica
 
KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]Kemp
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
I Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSI Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSRaúl Requero García
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoa3sec
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJose Alvarado Robles
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosimgh02
 
Sandboxing Avanzado para una Defensa APT Efectiva
Sandboxing Avanzado para una Defensa APT EfectivaSandboxing Avanzado para una Defensa APT Efectiva
Sandboxing Avanzado para una Defensa APT EfectivaQMA S.C.
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Javier Perez Mazatan
Javier Perez MazatanJavier Perez Mazatan
Javier Perez Mazatancongresoandicom
 

Contenu connexe

Tendances

Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]
Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]
Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]Software Guru
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Mitigando Eventualidades de Seguridad en Web 2.0 + Semántica
Mitigando Eventualidades de Seguridad en Web 2.0 + SemánticaMitigando Eventualidades de Seguridad en Web 2.0 + Semántica
Mitigando Eventualidades de Seguridad en Web 2.0 + SemánticaSoftware Guru
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]Kemp
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
I Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSI Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSRaúl Requero García
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoa3sec
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosimgh02
 
Sandboxing Avanzado para una Defensa APT Efectiva
Sandboxing Avanzado para una Defensa APT EfectivaSandboxing Avanzado para una Defensa APT Efectiva
Sandboxing Avanzado para una Defensa APT EfectivaQMA S.C.
 

Tendances (20)

Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]
Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]
Administración de Riesgos de seguridad en Tecnologías Web [Ethical Hacking]
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration Testing
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
 
Mitigando Eventualidades de Seguridad en Web 2.0 + Semántica
Mitigando Eventualidades de Seguridad en Web 2.0 + SemánticaMitigando Eventualidades de Seguridad en Web 2.0 + Semántica
Mitigando Eventualidades de Seguridad en Web 2.0 + Semántica
 
Sgsi
SgsiSgsi
Sgsi
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
ESET Secure Authentication
ESET Secure AuthenticationESET Secure Authentication
ESET Secure Authentication
 
KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
I Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSI Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJS
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgo
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosim
 
Sandboxing Avanzado para una Defensa APT Efectiva
Sandboxing Avanzado para una Defensa APT EfectivaSandboxing Avanzado para una Defensa APT Efectiva
Sandboxing Avanzado para una Defensa APT Efectiva
 

En vedette

Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Listatrans
ListatransListatrans
Listatransikas81
 
Powerpoint les canaries 2
Powerpoint les canaries 2Powerpoint les canaries 2
Powerpoint les canaries 2mandarine47
 
Cómo añadir Google Analytics a tu blog de wordpress
Cómo añadir Google Analytics a tu blog de wordpressCómo añadir Google Analytics a tu blog de wordpress
Cómo añadir Google Analytics a tu blog de wordpressDavid Leon Bravo
 
Wirtschaftlichkeit von Elektromobilität in gewerblichen Anwendungen
Wirtschaftlichkeit von Elektromobilität in gewerblichen AnwendungenWirtschaftlichkeit von Elektromobilität in gewerblichen Anwendungen
Wirtschaftlichkeit von Elektromobilität in gewerblichen AnwendungenOeko-Institut
 
El diseño humano y el aprendizaje 2
El diseño humano y el aprendizaje 2El diseño humano y el aprendizaje 2
El diseño humano y el aprendizaje 2guest4198e0
 
PRESENTACIÓN RECICLAJE XAVI
PRESENTACIÓN RECICLAJE XAVIPRESENTACIÓN RECICLAJE XAVI
PRESENTACIÓN RECICLAJE XAVIguest76495a1
 
Graph insider social analytics e commerce france 26 oct 2012
Graph insider social analytics e commerce france 26 oct 2012Graph insider social analytics e commerce france 26 oct 2012
Graph insider social analytics e commerce france 26 oct 2012Vincent Thijssens
 
Mobile HTML5 am Beispiel von Games
Mobile HTML5 am Beispiel von GamesMobile HTML5 am Beispiel von Games
Mobile HTML5 am Beispiel von Gamesgbanga
 

En vedette (20)

Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Javier Perez Mazatan
Javier Perez MazatanJavier Perez Mazatan
Javier Perez Mazatan
 
Ana Jimena )
Ana Jimena )Ana Jimena )
Ana Jimena )
 
Henry Breuil
Henry BreuilHenry Breuil
Henry Breuil
 
Listatrans
ListatransListatrans
Listatrans
 
Powerpoint les canaries 2
Powerpoint les canaries 2Powerpoint les canaries 2
Powerpoint les canaries 2
 
El Oido
El OidoEl Oido
El Oido
 
Smart Home Lösung mit Video-Telefonie
Smart Home Lösung mit Video-TelefonieSmart Home Lösung mit Video-Telefonie
Smart Home Lösung mit Video-Telefonie
 
Cómo añadir Google Analytics a tu blog de wordpress
Cómo añadir Google Analytics a tu blog de wordpressCómo añadir Google Analytics a tu blog de wordpress
Cómo añadir Google Analytics a tu blog de wordpress
 
Wirtschaftlichkeit von Elektromobilität in gewerblichen Anwendungen
Wirtschaftlichkeit von Elektromobilität in gewerblichen AnwendungenWirtschaftlichkeit von Elektromobilität in gewerblichen Anwendungen
Wirtschaftlichkeit von Elektromobilität in gewerblichen Anwendungen
 
TXIM - Built-in like
TXIM - Built-in likeTXIM - Built-in like
TXIM - Built-in like
 
Caty Pp
Caty PpCaty Pp
Caty Pp
 
El diseño humano y el aprendizaje 2
El diseño humano y el aprendizaje 2El diseño humano y el aprendizaje 2
El diseño humano y el aprendizaje 2
 
PRESENTACIÓN RECICLAJE XAVI
PRESENTACIÓN RECICLAJE XAVIPRESENTACIÓN RECICLAJE XAVI
PRESENTACIÓN RECICLAJE XAVI
 
Graph insider social analytics e commerce france 26 oct 2012
Graph insider social analytics e commerce france 26 oct 2012Graph insider social analytics e commerce france 26 oct 2012
Graph insider social analytics e commerce france 26 oct 2012
 
Ensayo1
Ensayo1Ensayo1
Ensayo1
 
Tdci
TdciTdci
Tdci
 
Best Beaches
Best BeachesBest Beaches
Best Beaches
 
Mobile HTML5 am Beispiel von Games
Mobile HTML5 am Beispiel von GamesMobile HTML5 am Beispiel von Games
Mobile HTML5 am Beispiel von Games
 
Segunda primaria
Segunda primariaSegunda primaria
Segunda primaria
 

Similaire à Owasp top 10

Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloudCSA Argentina
 
OWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsOWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsHdiv Security
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANsrkamote
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM
 
TOP10 - Owasp 2017
TOP10 - Owasp 2017TOP10 - Owasp 2017
TOP10 - Owasp 2017Luis Toscano
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 

Similaire à Owasp top 10 (20)

Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloud
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
OWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsOWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic Flaws
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
 
TOP10 - Owasp 2017
TOP10 - Owasp 2017TOP10 - Owasp 2017
TOP10 - Owasp 2017
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 

Dernier

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Dernier (13)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Owasp top 10

  • 1. Las diezvulnerabilidades web másrelevantes Eduardo Castellanos eduardo.castellanos@owasp.org
  • 2. Eduardo Castellanos 3 años de experiencia en desarrollo 3 años de experiencia en seguridad Analista de seguridadpara Verizon Business Security Solutions A través de SISAP Asociado de (ISC)² orientado a CISSP Miembro del capítulo de OWASP Guatemala
  • 3. Su “perímetro” de seguridadtienegrandesagujeros en la capa de aplicaciones |3 Código de AplicaciónElaborado a la Medida Capa de Aplicaciones Bases de datis Legacy Systems Servicios Web Directorios RRHH Cobros ATAQUE A LA APLICACIÓN Servidor de App Servidor Web SO Endurecido Capa de Red Firewall Firewall No se puedenutilizarmecanismos de protección de red paradetener o detetctarattaques de la capa de aplicación
  • 6. Ejemplo: ataque de inyección SQL Select user_informationfrom user_tablewhere username='input username'and password='input password' Select user_informationfrom user_tablewhere username= '' or 1=1 -- ' and password='abc'
  • 7. ¿Comodo? Marzo 2011 Un hacker usó inyección SQL para entrar a un sistema de un afiliado de Comodo. Comodo es un CA. Ellos firman certificados SSL para garantizar la seguridad de las comunicaciones. Resultado El hacker obtuvo las credenciales paraentrar a los sistemas para generar certificados. Generó certificados para mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org y login.live.com
  • 8. A1 – Evitando la Inyección Recomendaciones Evitarusar un interprete, o Usarunainterfazquepermitaatar (bind) variables (e.g., prepared statements, o stored procedures) Codificartodaslasentradas del usuario antes de pasarlas al interprete. Referencias SQLi Prevention Cheat Sheet http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
  • 9. A2 – Cross-Site Scripting (XSS)
  • 10. XSS = Cross-site Scripting Vulnerabilidad de las aplicaciones web Permite la inyección de código en páginas que serán vistas por otros usuarios XSS = el nuevo buffer overflow Javascript = el nuevo Shell Code
  • 11. Samy Worm 11 Primer Worm de XSS EscritoporSamyKamkar Afectó a MySpace.com En menos de 20 horasafectó a más de 1 millón de usuarios
  • 12. 12
  • 14. Recomendaciones Eliminar la falla Defenderse de la falla Recomendación principal: Codificartodaslassalidasquecontengandatosproporcionadospor el usuario (Usar OWASP’s ESAPI) http://www.owasp.org/index.php/ESAPI Para grandesporciones de HTML: OWASP’s AntiSamyhttp://www.owasp.org/index.php/AntiSamy Referencias Cross-site Scripting Cheat Sheethttp://www.owasp.org/index.php/XSS_(Cross Site Scripting) Prevention Cheat Sheet (AntiSamy) A2 – Evitando XSS
  • 15. A3 – Pérdida de Autenticación y Gestión de Sesiones
  • 16. Ataque de Fijación de Sesión
  • 17. A3 – Evitando la Pérdida de Autenticación y Gestión de Sesiones Verificar la arquitectura La autenticacióndebe ser simple, centralizada y estandarizada. Use el identificador de sesiónproporcionadopor el contenedor Aseguresequelascredenciales y el identificador de sesiónestanprotegidos con SSL todo el tiempo. Verificar la implementación Verificarque el cierre de sesión la destruya. Verificarlasfunciones de autenticación Authentication Cheat Sheet http://www.owasp.org/index.php/Authentication_Cheat_Sheet
  • 19. Ejemplo:ReferenciaDirectaInsegura a Objetos El atacante se dacuentaque el identificador de sucuentaes 6534 ?acct=6534 Lo cambia a un numero similar… ?acct=6535 El atacantepuedever la información de la víctima https://www.onlinebank.com/user?acct=6534
  • 20.
  • 21. Hacer un mapeo temporal (1,2,3)
  • 24.
  • 25. Ejemplo: CSRF El atacantearmaunatrampa en algun website en Internet Aplicación con vulnerabilidad CSRF Unaetiqueta <img> contiene el ataque contra el sitio vulnerable Mientrasesta en unasesión en el sitio vulnerable, la víctimavisita el sitiomalo El sitio vulnerable miraunapetición vulnerable de la víctima y ejecuta la acciónsolicitada <imgsrc=http://bank.com/transferir?cuenta=2323&cantidad=10000&dest=4444 />
  • 26.
  • 27.
  • 28. Defectos en la Configuración de Seguridad BD Finance Transactions Accounts Administration Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code App Configuration Development Framework App Server QA Servers Web Server Hardened OS Atacante Test Servers Source Control
  • 29.
  • 33.
  • 34. Cifrar información de clientes Información de clientes, 77 Milliones comprometidos.(probablemente tarjetas de crédito también) 28
  • 35.
  • 36. Aseguresequelascopias de los datosestandebidamenteprotegidas
  • 38.
  • 39. Ejemplo de Falla de Restricción de Acceso a URL El atacante se dacuentaque el URL define surol /user/getAccounts Lo cambia a otrodirectorio (rol) /admin/getAccounts, o /manager/getAccounts El atacantemiralascuentas de otrosusuarios
  • 40. A9 – ProtecciónInsuficiente en la Capa de Transporte
  • 42. A9 – EvitandoProtecciónInsuficiente en la Capa de Transporte Proteger con mecanismosadecuados Usar TLS en todaslasconexiones con información sensible Cifrarmensajesprevio a sutransmisión Usar los mecanismosadecuadamente No usarcifrados SSL obsoletos Atributo Secure de las cookies Gestionarlasllaves/certificadosadecuadamente Usarmecanismoscomprobados Cheat Sheet: http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
  • 43. A10 – Redirecciones y Reenvíos No Validados
  • 45. A10 – EvitandoRedirecciones y Reenvíos No Validados Variasopciones Evitarusarlos No usarparámetrosparadeterminar el URL Si ‘debe’ tenerparametros Validarquecadaparámetro sea válido. (preferido) – Usar un mapeo del lado del servidor ESAPI Ver: SecurityWrapperResponse.sendRedirect( URL ) http://owasp-esapi-java.googlecode.com/svn/trunk_doc/org/owasp/esapi/filters/SecurityWrapperResponse.html#sendRedirect(java.lang.String)
  • 46. Resumen: ¿Cómoatacarestosproblemas? Desarrollarcódigoseguro Seguirlasmejoresprácticasdefinidas en OWASP’s Guide to Building Secure Web Applications http://www.owasp.org/index.php/Guide Usar OWASP’s Application Security Verification Standard http://www.owasp.org/index.php/ASVS Usarcomponentes de seguridad Usar OWASP’s ESAPI como la base paraSUScomponentes http://www.owasp.org/index.php/ESAPI Revisarlasaplicaciones Que un equipo de expertos revise susaplicaciones Revise susaplicacionesporsimismousandoguías OWASP OWASP Code Review Guide: http://www.owasp.org/index.php/Code_Review_Guide OWASP Testing Guide: http://www.owasp.org/index.php/Testing_Guide
  • 49. 41 Suscribanse a nuestra lista de correo https://lists.owasp.org/mailman/listinfo/owasp-Guatemala

Notes de l'éditeur

  1. http://igigi.baywords.com/rockyou-com-exposed-more-than-32-millions-of-passwords-in-plaintext/