SlideShare una empresa de Scribd logo

Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web

Internet Security Auditors
Internet Security Auditors

Este documento presenta el OWASP Top 10 de 2010, que enumera y describe los 10 riesgos de seguridad más críticos en las aplicaciones web. Se revisa la actualización de los riesgos y las recomendaciones para cada uno. También se discute la necesidad de equilibrar la inversión en seguridad entre la infraestructura y las aplicaciones.

Tecnología
1 de 53
Descargar para leer sin conexión
c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01 info@isecauditors.com I www.isecauditors.com OWASP Top 10 2010: Riesgos de seguridad en las Aplicaciones Web Vicente Aguilera Díaz 26/2/2010 Internet Security Auditors
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 2 OWASP Top 10 2010 ¿Quién soy?  Vicente Aguilera Díaz – vaguilera@isecauditors.com  CISA, CISSP, CSSLP, ITIL, CEH Instructor, ECSP Instructor, OPSA, OPST  Presidente del capítulo español de OWASP  Director del Departamento de Auditoría de Internet Security Auditors  Miembro del Consejo Técnico Asesor de la revista “Red Seguridad”  Colaborador en distintos proyectos (OWASP Testing Guide v2, WASC Threat Classification v2, WASC Articles Project, OISSG ISSAF Project)  Ponente en congresos del sector (IGC, Hackmeeting, FIST, RedIRIS, OWASP)  Co-organizador de las conferencias IBWAS (Ibero-American Web Application Security)  Publicación de vulnerabilidades (Oracle, Gmail, SquirrelMail, Hastymail, ISMail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WebAppSec, etc.)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 3 OWASP Top 10 2010 Agenda 1. Inversión actual en seguridad TI 2. OWASP Top 10 2010:  Actualización de los riesgos de seguridad  Revisión de la recomendaciones 3. Evasión de controles de seguridad en un entorno real:  Demostración práctica: gmailcrack
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 4 OWASP Top 10 2010
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 5 OWASP Top 10 2010 1. Inversión actual en seguridad TI  El grueso de la inversión actual en seguridad recae en:  ¿Infraestructura o Aplicación?
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 6 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Según Gartner[1], el 90% se destina a seguridad perimetral (p.e. firewalls)  Este hecho resulta ilógico, si pensamos en términos de:  Presupuesto de TI (network, host, applications, data)  Amenazas y riesgos de seguridad actuales [1] http://www.continuitycentral.com/feature0555.htm
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 7 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Objetivo de los ataques Fuente: UK Security Breach Investigations Report 2010 (7safe)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 8 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Tipología de empresas afectadas Fuente: 2009 Data Breach Investigations Report (Verizon Business)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 9 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Conclusiones  La mayor parte de los atacantes son externos  Generalmente se persigue un objetivo económico  El negocio está en la web  Los sistemas de seguridad tradicionales no ofrecen protección a nivel de aplicación  Es necesario incorporar la seguridad al SDLC, pero además…  La balanza debería equilibrarse!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 10 OWASP Top 10 2010
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 11 OWASP Top 10 2010 2. OWASP Top 10 2010  Es un documento: 21 páginas  Gratuito  Los 10 riesgos más críticos  Evoluciona y se adapta  El principal objetivo es educar
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 12 OWASP Top 10 2010 2. OWASP Top 10 2010  Enumera y describe los 10 riesgos más críticos en las aplicaciones web  Para cada riesgo, aporta:  Descripción del mismo  Escenario de ejemplo de un ataque  Pautas para verificar si nuestra aplicación es vulnerable  Recomendaciones para prevenir dicho riesgo  Crecimiento en su aceptación:  MITRE  PCI DSS  US Defense Information Systems Agency (DISA)  US Federal Trade Commision (FTC)  y muchos más!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 13 OWASP Top 10 2010 2. OWASP Top 10 2010  Cambios destacados en esta versión (frente a 2007):  Se centra en los riesgos (no en vulnerabilidades)  Se reordena el Top 10 debido a que la metodología para elaborar el ránking ha cambiado  Se incorporan dos elementos:  Security Misconfiguration  Unvalidated Redirect and Forwards  Se eliminan dos elementos:  Malicious File Execution  Information Leakage and Improper Error Handling  … y la maquetación del documento!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 14 OWASP Top 10 2010 2. OWASP Top 10 2010  Última actualización del Top 10
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 15 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  La aplicación envía a un intérprete datos no validados correctamente y que pueden ser manipulados por el usuario.  Posibilita  Ejecución de consultas/comandos arbitrarios en el intérprete afectado.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 16 OWASP Top 10 2010 Firewall Hardened OS Web Server App Server Firewall Databases LegacySystems WebServices Directories HumanResrcs Billing Custom Code APPLICATION ATTACK NetworkLayerApplicationLayer Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions HTTP request  SQL query  DB Table   HTTP response   "SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’" 1. Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user Account: SKU:
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 17 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Evitar el uso de intérpretes siempre que sea posible. En caso de resultar necesario, utilizar APIs seguras.  Validaciones de los datos de entrada: basadas en white-list para todos los datos de entrada.  Antes de validar el dato de entrada es necesario decodificarlo y convertirlo a su forma más simple  Seguir el principio de mínimo privilegio en las conexiones con bases de datos y otros componentes  No utilizar consultas dinámicas, sino parametrizadas
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 18 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  La aplicación retorna al navegador web datos no validados correctamente y que pueden ser alterados por el usuario.  Posibilita  Secuestro de sesión, defacement, control del navegador del usuario, etc.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 19 OWASP Top 10 2010 Application with stored XSS vulnerability 3 2 Attacker sets the trap – update my profile Attacker enters a malicious script into a web page that stores the data on the server 1 Victim views page – sees attacker profile Script silently sends attacker Victim’s session cookie Script runs inside victim’s browser with full access to the DOM and cookies Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 20 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Validaciones de los datos de entrada: basadas en white-list para todos los datos de entrada.  Fuerte codificación de salida: todos los datos facilitados por el usuario han de ser codificados antes de ser retornados al cliente. Especificar la codificación de caracteres en cada página (por ejemplo: ISO-8859-1 o UTF-8)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 21 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Deficiencias en la implementación de las funciones de autenticación de usuarios.  Posibilita  Obtener contraseñas o IDs de sesión de otros usuarios, suplantando su identidad.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 22 OWASP Top 10 2010 Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 User sends credentials 2Site uses URL rewriting (i.e., put session in URL) 3 User clicks on a link to http://www.hacker.com in a forum www.boi.com?JSESSIONID=9FA1DB9EA... 4 Hacker checks referer logs on www.hacker.com and finds user’s JSESSIONID 5 Hacker uses JSESSIONID and takes over victim’s account
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 23 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Las credenciales deben viajar por un canal seguro (SSL)  Las credenciales deben ser almacenadas en forma de hash o utilizando cifrado  Utilizar la gestión de sesiones del propio framework  No aceptar nuevos identificadores de sesión desde el usuario.  El formulario de login deben ser accedido vía HTTPs. Comenzar el proceso de login desde una segunda página en la que se haya generado un nuevo ID de sesión.  Cada página debe incluir la opción de logout.  Utilizar time-out por inactividad (preferiblemente de pocos minutos)  No exponer credenciales (login y/o password) o identificadores de sesión en la URL.  Verificar el password anterior al solicitar un cambio de contraseña.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 24 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Exposición de una referencia a un objeto interno sin los debidos controles de seguridad.  Posibilita  Acceso a datos no autorizados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 25 OWASP Top 10 2010 https://www.onlinebank.com/user?acct=6065 • Attacker notices his acct parameter is 6065 ?acct=6065 • He modifies it to a nearby number ?acct=6066 • Attacker views the victim’s account information
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 26 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Utilizar referencias indirectas. Por ejemplo: http://www.example.com/application/file=1  Establecer un estándar a la hora de hacer referencia a objetos del servidor:  Evitar exponer a los usuarios referencias directas a objetos (como nombres de fichero o claves primarias)  Validar cualquier referencia a un objeto utilizado white-list.  Verificar el nivel de autorización sobre los objetos referenciados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 27 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Fuerza al navegador de la víctima (autenticada) a realizar una petición HTTP, incluyendo la cookie de sesión u otra información que permite autenticar al usuario.  Posibilita  Forzar acciones no deseadas por parte del usuario en la aplicación vulnerable.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 28 OWASP Top 10 2010 3 2 Attacker sets the trap on some website on the internet (or simply via an e-mail)1 While logged into vulnerable site, victim views attacker site Vulnerable site sees legitimate request from victim and performs the action requested Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions Hidden <img> tag contains attack against vulnerable site Application with CSRF vulnerability
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 29 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Verificar que la aplicación no basa la autenticación del usuario únicamente en credenciales o tokens transmitidos automáticamente por el navegador.  Utilizar un token adicional, criptográficamente seguro, que no se transmita de forma automática por el navegador (por ejemplo, campo oculto de formulario o parámetro de URL)  Verificar que la aplicación no sufre vulnerabilidades de tipo XSS  En el acceso a datos u operativas sensibles, re-autenticar al usuario.  Aceptar únicamente el método POST para transmitir información sensible.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 30 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Uso de configuraciones de seguridad deficientes o por defecto.  Posibilita  Explotar vulnerabilidades en la aplicación, servidores web/aplicación, u otros componentes.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 31 OWASP Top 10 2010 Hardened OS Web Server App Server Framework App Configuration Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions Test Servers QA Servers Source Control Development Database Insider
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 32 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Uso de guías de securización.  Mantener actualizadas todas las plataformas.  Analizar las implicaciones de los cambios realizados en las plataformas.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 33 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Ausencia de controles de autenticación/autorización en el acceso a recursos privados.  Posibilita  Acceso no autorizado a recursos privados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 34 OWASP Top 10 2010 • Attacker notices the URL indicates his role /user/getAccounts • He modifies it to another directory (role) /admin/getAccounts, or /manager/getAccounts • Attacker views more accounts than just their own https://www.onlinebank.com/user/getAccountshttps://www.onlinebank.com/user/getAccounts
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 35 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Disponer de una matriz de roles y funciones de la aplicación, como parte del diseño de la aplicación.  La aplicación debe verificar el control de acceso en cada petición.  Llevar a cabo pentests (tests de intrusión) tras el despliegue de la aplicación  No basar la seguridad en la ofuscación  Denegar el acceso a tipos de ficheros que la aplicación no debería servir. Basar la validación en una white-list (por ejemplo: .html, .pdf, .jsp)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 36 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Uso de datos no validados correctamente para realizar redirecciones a otros recursos.  Posibilita  Redirigir a los usuarios a sitios de phishing o malware, o acceso a recursos no autorizados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 37 OWASP Top 10 2010 3 2 Attacker sends attack to victim via email or webpage From: Internal Revenue Service Subject: Your Unclaimed Tax Refund Our records show you have an unclaimed federal tax refund. Please click here to initiate your claim. 1 Request sent to vulnerable site, including attacker’s destination site as parameter. Redirect sends victim to attacker site Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions 4 Victim clicks link containing unvalidated parameter Evil Site http://www.irs.gov/taxrefund/claim.jsp?year=2 006& … &dest=www.evilsite.com
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 38 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Intentar evitar el uso de redirecciones.  No utilizar parámetros que puedan ser manipulados por el usuario como parte de la URL, o verificar cada parámetro para verificar que es válido y autorizado para el usuario  Validar la URL después de haberla “calculado”.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 39 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Datos sensibles no protegidos con el cifrado adecuado.  Posibilita  Fraude con tarjetas de crédito, suplantación de identidades, etc.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 40 OWASP Top 10 2010 Custom Code Accounts Finance Administration Transactions Communicatio nKnowledge Mgmt E-Commerce Bus.Functions 1 Victim enters credit card number in form 2Error handler logs CC details because merchant gateway is unavailable 4 Malicious insider steals 4 million credit card numbers Log files 3Logs are accessible to all members of IT staff for debugging purposes
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 41 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Verificar que todo lo que debiera ser cifrado realmente lo está.  No crear algoritmos criptográficos. Usar únicamente algoritmos públicos reconocidos (como AES, RSA, y SHA-256)  No utilizar algoritmos considerados débiles (como MD5 o SHA1)  Nunca transmitir claves privadas por canales inseguros  Verificar que las credenciales de toda la infraestructura (como base de datos) se encuentran correctamente securizadas (permisos del sistema de ficheros, cifrado, etc.)  No almacenar información innecesaria. Por ejemplo, según PCI DSS nunca se debe almacenar el número CVV asociado a la tarjeta de crédito.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 42 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Comunicaciones sensibles viajan por un canal no cifrado.  Posibilita  Acceso a información sensible mediante la captura del tráfico.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 43 OWASP Top 10 2010 Custom Code Employees Business Partners External Victim Backend Systems External Attacker 1 External attacker steals credentials and data off network 2 Internal attacker steals credentials and data from internal network Internal Attacker
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 44 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Utilizar SSL en cualquier comunicación autenticada o al transmitir información sensible (credenciales, datos de tarjetas, información personal, etc.)  Verificar que la comunicación entre componentes (por ejemplo, servidor web y base de datos) también utiliza un canal seguro.  Según el requerimiento 4 de PCI DSS hay que proteger los datos que se transmiten sobre las tarjetas de crédito.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 45 OWASP Top 10 2010
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 46 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  Gmail dispone de un gran número de controles de seguridad  Bloqueo de IP origen  Bloqueo de la cuenta al detectar actividad sospechosa  CAPTCHA  Detección de accesos concurrentes  y muchos más!  ¿Es posible automatizar el proceso de autenticación de usuarios?  password cracking
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 47 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  Veamos qué deficiencias existen…  Nota: El equipo de seguridad de Google fue notificado de estas deficiencias en 2009, pero desestimó aplicar cualquier medida correctora debido a que consideraban suficientes sus actuales mecanismos de protección.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 48 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  Conozcamos gmailcrack, la implementación práctica que explota dichas deficiencias
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 49 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  gmailcrack en acción…
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 50 OWASP Top 10 2010 Referencias  UK Security Breach Investigations Report  http://www.7safe.com/breach_report/Breach_report_2010.pdf  2009 Data Breach Investigations Report  http://www.verizonbusiness.com/resources/security/reports/2009 _databreach_rp.pdf  OWASP Top 10 2010 rc1  http://www.owasp.org/index.php/File:OWASP_T10_- _2010_rc1.pdf  Internet Security Auditors Security Advisories  http://www.isecauditors.com/es/advisories.html#2009-008
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 51 OWASP Top 10 2010 Referencias  The Economics of Finding and Fixing Vulnerabilities in Distributed Systems  http://1raindrop.typepad.com/1_raindrop/2008/11/the- economics-of-finding-and-fixing-vulnerabilities-in-distributed- systems-.html
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 52 OWASP Top 10 2010 ? dudas / comentarios / sugerencias Gracias!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 53 OWASP Top 10 2010 Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com c/ Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª E-28046 Madrid (Spain) Tel.: +34 91 788 57 78 Fax: +34 91 788 57 01 www.isecauditors.com

Recomendados

Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Casos Empresariales: Cámara de Comercio de La Libertad v1.1 CIP
Casos Empresariales: Cámara de Comercio de La Libertad v1.1 CIPCasos Empresariales: Cámara de Comercio de La Libertad v1.1 CIP
Casos Empresariales: Cámara de Comercio de La Libertad v1.1 CIPAlonso Caballero
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosInternet Security Auditors
 
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de PagoInternet Security Auditors
 
Casos Empresariales: Cámara de Comercio de La Libertad
Casos Empresariales: Cámara de Comercio de La LibertadCasos Empresariales: Cámara de Comercio de La Libertad
Casos Empresariales: Cámara de Comercio de La LibertadAlonso Caballero
 

Recomendados

Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Casos Empresariales: Cámara de Comercio de La Libertad v1.1 CIP
Casos Empresariales: Cámara de Comercio de La Libertad v1.1 CIPCasos Empresariales: Cámara de Comercio de La Libertad v1.1 CIP
Casos Empresariales: Cámara de Comercio de La Libertad v1.1 CIPAlonso Caballero
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosInternet Security Auditors
 
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de PagoSeguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de PagoInternet Security Auditors
 
Casos Empresariales: Cámara de Comercio de La Libertad
Casos Empresariales: Cámara de Comercio de La LibertadCasos Empresariales: Cámara de Comercio de La Libertad
Casos Empresariales: Cámara de Comercio de La LibertadAlonso Caballero
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Internet Security Auditors
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...COIICV
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearningChristian Patricio Vaca Benalcázar
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Trustwave spider labs_2012_
Trustwave spider labs_2012_Trustwave spider labs_2012_
Trustwave spider labs_2012_JulianArgudo
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsLibreCon
 
Wargames in your office
Wargames in your officeWargames in your office
Wargames in your officeRafael Sánchez Gómez
 
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Symantec LATAM
 
Luiz Dos Santos
Luiz Dos SantosLuiz Dos Santos
Luiz Dos Santossuperbancosec
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaEventos Creativos
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Más contenido relacionado

Similar a Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web

Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Internet Security Auditors
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...COIICV
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Trustwave spider labs_2012_
Trustwave spider labs_2012_Trustwave spider labs_2012_
Trustwave spider labs_2012_JulianArgudo
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsLibreCon
 
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Symantec LATAM
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaEventos Creativos
 

Similar a Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web (20)

Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
Tratamiento seguro de datos en aplicaciones. OWASP Conference 2007.
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearning
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Trustwave spider labs_2012_
Trustwave spider labs_2012_Trustwave spider labs_2012_
Trustwave spider labs_2012_
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Be Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retailBe Aware Webinar - Asegurando los pos en retail
Be Aware Webinar - Asegurando los pos en retail
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
Wargames in your office
Wargames in your officeWargames in your office
Wargames in your office
 
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
Be Aware Webinar Symantec - Amenazas durante el mes de Mayo 2016
 
Luiz Dos Santos
Luiz Dos SantosLuiz Dos Santos
Luiz Dos Santos
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseña
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Último

TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 

Último (20)

TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 

Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web

  • 1. c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01 info@isecauditors.com I www.isecauditors.com OWASP Top 10 2010: Riesgos de seguridad en las Aplicaciones Web Vicente Aguilera Díaz 26/2/2010 Internet Security Auditors
  • 2. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 2 OWASP Top 10 2010 ¿Quién soy?  Vicente Aguilera Díaz – vaguilera@isecauditors.com  CISA, CISSP, CSSLP, ITIL, CEH Instructor, ECSP Instructor, OPSA, OPST  Presidente del capítulo español de OWASP  Director del Departamento de Auditoría de Internet Security Auditors  Miembro del Consejo Técnico Asesor de la revista “Red Seguridad”  Colaborador en distintos proyectos (OWASP Testing Guide v2, WASC Threat Classification v2, WASC Articles Project, OISSG ISSAF Project)  Ponente en congresos del sector (IGC, Hackmeeting, FIST, RedIRIS, OWASP)  Co-organizador de las conferencias IBWAS (Ibero-American Web Application Security)  Publicación de vulnerabilidades (Oracle, Gmail, SquirrelMail, Hastymail, ISMail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WebAppSec, etc.)
  • 3. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 3 OWASP Top 10 2010 Agenda 1. Inversión actual en seguridad TI 2. OWASP Top 10 2010:  Actualización de los riesgos de seguridad  Revisión de la recomendaciones 3. Evasión de controles de seguridad en un entorno real:  Demostración práctica: gmailcrack
  • 4. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 4 OWASP Top 10 2010
  • 5. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 5 OWASP Top 10 2010 1. Inversión actual en seguridad TI  El grueso de la inversión actual en seguridad recae en:  ¿Infraestructura o Aplicación?
  • 6. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 6 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Según Gartner[1], el 90% se destina a seguridad perimetral (p.e. firewalls)  Este hecho resulta ilógico, si pensamos en términos de:  Presupuesto de TI (network, host, applications, data)  Amenazas y riesgos de seguridad actuales [1] http://www.continuitycentral.com/feature0555.htm
  • 7. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 7 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Objetivo de los ataques Fuente: UK Security Breach Investigations Report 2010 (7safe)
  • 8. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 8 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Tipología de empresas afectadas Fuente: 2009 Data Breach Investigations Report (Verizon Business)
  • 9. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 9 OWASP Top 10 2010 1. Inversión actual en seguridad TI  Conclusiones  La mayor parte de los atacantes son externos  Generalmente se persigue un objetivo económico  El negocio está en la web  Los sistemas de seguridad tradicionales no ofrecen protección a nivel de aplicación  Es necesario incorporar la seguridad al SDLC, pero además…  La balanza debería equilibrarse!
  • 10. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 10 OWASP Top 10 2010
  • 11. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 11 OWASP Top 10 2010 2. OWASP Top 10 2010  Es un documento: 21 páginas  Gratuito  Los 10 riesgos más críticos  Evoluciona y se adapta  El principal objetivo es educar
  • 12. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 12 OWASP Top 10 2010 2. OWASP Top 10 2010  Enumera y describe los 10 riesgos más críticos en las aplicaciones web  Para cada riesgo, aporta:  Descripción del mismo  Escenario de ejemplo de un ataque  Pautas para verificar si nuestra aplicación es vulnerable  Recomendaciones para prevenir dicho riesgo  Crecimiento en su aceptación:  MITRE  PCI DSS  US Defense Information Systems Agency (DISA)  US Federal Trade Commision (FTC)  y muchos más!
  • 13. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 13 OWASP Top 10 2010 2. OWASP Top 10 2010  Cambios destacados en esta versión (frente a 2007):  Se centra en los riesgos (no en vulnerabilidades)  Se reordena el Top 10 debido a que la metodología para elaborar el ránking ha cambiado  Se incorporan dos elementos:  Security Misconfiguration  Unvalidated Redirect and Forwards  Se eliminan dos elementos:  Malicious File Execution  Information Leakage and Improper Error Handling  … y la maquetación del documento!
  • 14. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 14 OWASP Top 10 2010 2. OWASP Top 10 2010  Última actualización del Top 10
  • 15. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 15 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  La aplicación envía a un intérprete datos no validados correctamente y que pueden ser manipulados por el usuario.  Posibilita  Ejecución de consultas/comandos arbitrarios en el intérprete afectado.
  • 16. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 16 OWASP Top 10 2010 Firewall Hardened OS Web Server App Server Firewall Databases LegacySystems WebServices Directories HumanResrcs Billing Custom Code APPLICATION ATTACK NetworkLayerApplicationLayer Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions HTTP request  SQL query  DB Table   HTTP response   "SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’" 1. Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user Account: SKU:
  • 17. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 17 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Evitar el uso de intérpretes siempre que sea posible. En caso de resultar necesario, utilizar APIs seguras.  Validaciones de los datos de entrada: basadas en white-list para todos los datos de entrada.  Antes de validar el dato de entrada es necesario decodificarlo y convertirlo a su forma más simple  Seguir el principio de mínimo privilegio en las conexiones con bases de datos y otros componentes  No utilizar consultas dinámicas, sino parametrizadas
  • 18. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 18 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  La aplicación retorna al navegador web datos no validados correctamente y que pueden ser alterados por el usuario.  Posibilita  Secuestro de sesión, defacement, control del navegador del usuario, etc.
  • 19. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 19 OWASP Top 10 2010 Application with stored XSS vulnerability 3 2 Attacker sets the trap – update my profile Attacker enters a malicious script into a web page that stores the data on the server 1 Victim views page – sees attacker profile Script silently sends attacker Victim’s session cookie Script runs inside victim’s browser with full access to the DOM and cookies Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions
  • 20. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 20 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Validaciones de los datos de entrada: basadas en white-list para todos los datos de entrada.  Fuerte codificación de salida: todos los datos facilitados por el usuario han de ser codificados antes de ser retornados al cliente. Especificar la codificación de caracteres en cada página (por ejemplo: ISO-8859-1 o UTF-8)
  • 21. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 21 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Deficiencias en la implementación de las funciones de autenticación de usuarios.  Posibilita  Obtener contraseñas o IDs de sesión de otros usuarios, suplantando su identidad.
  • 22. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 22 OWASP Top 10 2010 Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 User sends credentials 2Site uses URL rewriting (i.e., put session in URL) 3 User clicks on a link to http://www.hacker.com in a forum www.boi.com?JSESSIONID=9FA1DB9EA... 4 Hacker checks referer logs on www.hacker.com and finds user’s JSESSIONID 5 Hacker uses JSESSIONID and takes over victim’s account
  • 23. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 23 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Las credenciales deben viajar por un canal seguro (SSL)  Las credenciales deben ser almacenadas en forma de hash o utilizando cifrado  Utilizar la gestión de sesiones del propio framework  No aceptar nuevos identificadores de sesión desde el usuario.  El formulario de login deben ser accedido vía HTTPs. Comenzar el proceso de login desde una segunda página en la que se haya generado un nuevo ID de sesión.  Cada página debe incluir la opción de logout.  Utilizar time-out por inactividad (preferiblemente de pocos minutos)  No exponer credenciales (login y/o password) o identificadores de sesión en la URL.  Verificar el password anterior al solicitar un cambio de contraseña.
  • 24. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 24 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Exposición de una referencia a un objeto interno sin los debidos controles de seguridad.  Posibilita  Acceso a datos no autorizados.
  • 25. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 25 OWASP Top 10 2010 https://www.onlinebank.com/user?acct=6065 • Attacker notices his acct parameter is 6065 ?acct=6065 • He modifies it to a nearby number ?acct=6066 • Attacker views the victim’s account information
  • 26. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 26 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Utilizar referencias indirectas. Por ejemplo: http://www.example.com/application/file=1  Establecer un estándar a la hora de hacer referencia a objetos del servidor:  Evitar exponer a los usuarios referencias directas a objetos (como nombres de fichero o claves primarias)  Validar cualquier referencia a un objeto utilizado white-list.  Verificar el nivel de autorización sobre los objetos referenciados.
  • 27. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 27 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Fuerza al navegador de la víctima (autenticada) a realizar una petición HTTP, incluyendo la cookie de sesión u otra información que permite autenticar al usuario.  Posibilita  Forzar acciones no deseadas por parte del usuario en la aplicación vulnerable.
  • 28. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 28 OWASP Top 10 2010 3 2 Attacker sets the trap on some website on the internet (or simply via an e-mail)1 While logged into vulnerable site, victim views attacker site Vulnerable site sees legitimate request from victim and performs the action requested Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions Hidden <img> tag contains attack against vulnerable site Application with CSRF vulnerability
  • 29. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 29 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Verificar que la aplicación no basa la autenticación del usuario únicamente en credenciales o tokens transmitidos automáticamente por el navegador.  Utilizar un token adicional, criptográficamente seguro, que no se transmita de forma automática por el navegador (por ejemplo, campo oculto de formulario o parámetro de URL)  Verificar que la aplicación no sufre vulnerabilidades de tipo XSS  En el acceso a datos u operativas sensibles, re-autenticar al usuario.  Aceptar únicamente el método POST para transmitir información sensible.
  • 30. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 30 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Uso de configuraciones de seguridad deficientes o por defecto.  Posibilita  Explotar vulnerabilidades en la aplicación, servidores web/aplicación, u otros componentes.
  • 31. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 31 OWASP Top 10 2010 Hardened OS Web Server App Server Framework App Configuration Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions Test Servers QA Servers Source Control Development Database Insider
  • 32. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 32 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Uso de guías de securización.  Mantener actualizadas todas las plataformas.  Analizar las implicaciones de los cambios realizados en las plataformas.
  • 33. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 33 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Ausencia de controles de autenticación/autorización en el acceso a recursos privados.  Posibilita  Acceso no autorizado a recursos privados.
  • 34. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 34 OWASP Top 10 2010 • Attacker notices the URL indicates his role /user/getAccounts • He modifies it to another directory (role) /admin/getAccounts, or /manager/getAccounts • Attacker views more accounts than just their own https://www.onlinebank.com/user/getAccountshttps://www.onlinebank.com/user/getAccounts
  • 35. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 35 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Disponer de una matriz de roles y funciones de la aplicación, como parte del diseño de la aplicación.  La aplicación debe verificar el control de acceso en cada petición.  Llevar a cabo pentests (tests de intrusión) tras el despliegue de la aplicación  No basar la seguridad en la ofuscación  Denegar el acceso a tipos de ficheros que la aplicación no debería servir. Basar la validación en una white-list (por ejemplo: .html, .pdf, .jsp)
  • 36. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 36 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Uso de datos no validados correctamente para realizar redirecciones a otros recursos.  Posibilita  Redirigir a los usuarios a sitios de phishing o malware, o acceso a recursos no autorizados.
  • 37. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 37 OWASP Top 10 2010 3 2 Attacker sends attack to victim via email or webpage From: Internal Revenue Service Subject: Your Unclaimed Tax Refund Our records show you have an unclaimed federal tax refund. Please click here to initiate your claim. 1 Request sent to vulnerable site, including attacker’s destination site as parameter. Redirect sends victim to attacker site Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions 4 Victim clicks link containing unvalidated parameter Evil Site http://www.irs.gov/taxrefund/claim.jsp?year=2 006& … &dest=www.evilsite.com
  • 38. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 38 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Intentar evitar el uso de redirecciones.  No utilizar parámetros que puedan ser manipulados por el usuario como parte de la URL, o verificar cada parámetro para verificar que es válido y autorizado para el usuario  Validar la URL después de haberla “calculado”.
  • 39. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 39 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Datos sensibles no protegidos con el cifrado adecuado.  Posibilita  Fraude con tarjetas de crédito, suplantación de identidades, etc.
  • 40. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 40 OWASP Top 10 2010 Custom Code Accounts Finance Administration Transactions Communicatio nKnowledge Mgmt E-Commerce Bus.Functions 1 Victim enters credit card number in form 2Error handler logs CC details because merchant gateway is unavailable 4 Malicious insider steals 4 million credit card numbers Log files 3Logs are accessible to all members of IT staff for debugging purposes
  • 41. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 41 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Verificar que todo lo que debiera ser cifrado realmente lo está.  No crear algoritmos criptográficos. Usar únicamente algoritmos públicos reconocidos (como AES, RSA, y SHA-256)  No utilizar algoritmos considerados débiles (como MD5 o SHA1)  Nunca transmitir claves privadas por canales inseguros  Verificar que las credenciales de toda la infraestructura (como base de datos) se encuentran correctamente securizadas (permisos del sistema de ficheros, cifrado, etc.)  No almacenar información innecesaria. Por ejemplo, según PCI DSS nunca se debe almacenar el número CVV asociado a la tarjeta de crédito.
  • 42. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 42 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Descripción  Comunicaciones sensibles viajan por un canal no cifrado.  Posibilita  Acceso a información sensible mediante la captura del tráfico.
  • 43. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 43 OWASP Top 10 2010 Custom Code Employees Business Partners External Victim Backend Systems External Attacker 1 External attacker steals credentials and data off network 2 Internal attacker steals credentials and data from internal network Internal Attacker
  • 44. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 44 OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos  Recomendaciones  Utilizar SSL en cualquier comunicación autenticada o al transmitir información sensible (credenciales, datos de tarjetas, información personal, etc.)  Verificar que la comunicación entre componentes (por ejemplo, servidor web y base de datos) también utiliza un canal seguro.  Según el requerimiento 4 de PCI DSS hay que proteger los datos que se transmiten sobre las tarjetas de crédito.
  • 45. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 45 OWASP Top 10 2010
  • 46. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 46 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  Gmail dispone de un gran número de controles de seguridad  Bloqueo de IP origen  Bloqueo de la cuenta al detectar actividad sospechosa  CAPTCHA  Detección de accesos concurrentes  y muchos más!  ¿Es posible automatizar el proceso de autenticación de usuarios?  password cracking
  • 47. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 47 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  Veamos qué deficiencias existen…  Nota: El equipo de seguridad de Google fue notificado de estas deficiencias en 2009, pero desestimó aplicar cualquier medida correctora debido a que consideraban suficientes sus actuales mecanismos de protección.
  • 48. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 48 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  Conozcamos gmailcrack, la implementación práctica que explota dichas deficiencias
  • 49. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 49 OWASP Top 10 2010 3. Evasión de controles de seguridad en un entorno real:  gmailcrack en acción…
  • 50. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 50 OWASP Top 10 2010 Referencias  UK Security Breach Investigations Report  http://www.7safe.com/breach_report/Breach_report_2010.pdf  2009 Data Breach Investigations Report  http://www.verizonbusiness.com/resources/security/reports/2009 _databreach_rp.pdf  OWASP Top 10 2010 rc1  http://www.owasp.org/index.php/File:OWASP_T10_- _2010_rc1.pdf  Internet Security Auditors Security Advisories  http://www.isecauditors.com/es/advisories.html#2009-008
  • 51. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 51 OWASP Top 10 2010 Referencias  The Economics of Finding and Fixing Vulnerabilities in Distributed Systems  http://1raindrop.typepad.com/1_raindrop/2008/11/the- economics-of-finding-and-fixing-vulnerabilities-in-distributed- systems-.html
  • 52. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 52 OWASP Top 10 2010 ? dudas / comentarios / sugerencias Gracias!
  • 53. © I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 53 OWASP Top 10 2010 Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com c/ Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª E-28046 Madrid (Spain) Tel.: +34 91 788 57 78 Fax: +34 91 788 57 01 www.isecauditors.com