–
Una Guía para Construir
Aplicaciones y Servicios
Web Seguros
Edición 2.0 Black Hat
Julio 27, 2005
VERSION EN ESPAÑOL
Copyright © 2002-2005. The Open Web Application Security Project (OWASP). Todos los derechos reservados.
Se concede permiso para copiar, distribuir y / o modificar este documento siempre que se incluya este aviso
de derechos de autor y se mantenga la atribución a OWASP.
¡Error! No se encuentra el origen de la referencia.
A mis compañeros que dejan las cosas para más adelante y
adictos de TiVo, este libro demuestra que dado el tiempo
suficiente, todo es posible.
Andrew van der Stock, July 2005
Portada
Dedicatoria
Derechos de autor y licencia
© 2001 – 2005 Free Software Foundation.
La Guía está licenciada bajo la Licencia de Documentación Libre, una copia de la cual se
encuentra en el Apéndice. Se concede permiso para copiar, distribuir y / o modificar este
documento siempre que se incluya este aviso de derechos de autor y se mantenga la atribución a
OWASP.
Editores
La Guía ha tenido varios editores, todos los cuales han contribuido en gran medida como
autores, directores de proyectos, editores y más durante la larga gestación de la Guía.
Adrian Wiesmann
Andrew van der Stock
Mark Curphey
Ray Stirbei
2
Autores y Revisores
OWASP Guide 2.0
La Guía no estaría donde está hoy sin el generoso tiempo de voluntarios y esfuerzo de
muchas personas. Si usted es uno de ellos, y no en esta lista, póngase en contacto con Andrew
van der Stock,
[email protected]
Abraham Kang
Adrian Wiesmann
Alex Russell
Amit Klein
Andrew van der Stock
Brian Greidanus
Christopher Todd
Darrel Grundy
David Endler
Denis Piliptchouk
Dennis Groves
Derek Browne
Eoin Keary
Ernesto Arroyo
Frank Lemmon
Gene McKenna
Hal Lockhart
Izhar By-Gad
Jeremy Poteet
José Pedro Arroyo
K.K. Mookhey
Kevin McLaughlin
Mark Curphey
Martin Eizner
Michael Howard
Mikael Simonsson
Neal Krawetz
Nigel Tranter
Raoul Endres
Ray Stirbei
Richard Parke
Robert Hansen
Roy McNamara
Steve Taylor
Sverre Huseby
Tim Smith
William Hau
Sobre esta versión en español
Esta versión de la Guía en español ha sido desarrollada como parte de las actividades del
capitulo OWASP Spanish para la comunidad de desarrolladores y seguridad informática de habla
hispana.
Participaron de esta traducción:
Bacha, Luis Martinez
Cerullo, Fabio
Loza, Ana
Calderon, Juan C.
Gausch, Jose Antonio
Ramos, Alejandro
Casbas, Emilio
Gomez, Jesús
Salas, Aldo
Para saber mas sobre los eventos y actividades desarrolladas por el capitulo OWASP-
Spanish, suscríbase a la lista de distribución OWASP-Spanish.
3
Historial de Revisiones
Fecha
Junio 2002
Version
1.0
Junio 2002
1.0.1
Septiembre 2002
1.1
Septiembre 2002
1.1.1
Junio 2004
2.0a1
Noviembre 2004
2.0a2
¡Error! No se le ha dado un nombre al marcador.
Paginas
Notas
93
93
98
70
104
149
Mark Curphy, Coordinador de la
Guia
Documento Original Word perdido.
Mark Curphy, Coordinador de la
Guia
Cambios menores.
Mark Curphey, Coordinador de la
Guia
Documento Original TeX perdido.
Mark Curphey, Coordinador de la
Guia
Documento Original DocBook
XML perdido.
Adrian Wiesmann, Coordinador de
la Guia
Formato DocBook XML
Adrian Wiesmann, Coordinador de
la Guia
Formato DocBook XML
Diciembre 2004 – Abril
2.0a3 – 2.0a7
134 – 156 paginas
Andrew van der Stock, Coordinador
2005
de la Guia
Formato Word
Junio 2005
2.0b1
211 paginas
Andrew van der Stock, Coordinador
de la Guia
Formato Word
Julio 24, 2005
2.0 Release Candidate
262 paginas
Andrew van der Stock, Coordinador
de la Guia
Formato Word
Julio 26, 2005
2.0 Blackhat Edition
280 paginas
Andrew van der Stock, Coordinador
de la Guia
Formato Word
Julio 27, 2005
2.0.1 Blackhat Edition++
293 paginas
Revision del capitulo de criptografia
por Michael Howard incorporado a
la Guia
4
OWASP Guide 2.0
Si usted tiene una copia de cualquiera de las versiones originales perdidas de OWASP (es
decir, los originales de Word, TeX, o DocBook), nos encantaría saber de usted:
[email protected]
5
Tabla de Contenidos
¡Error! No se le ha dado un nombre al marcador.
PORTADA ...................................................................................................................................................................2
DEDICATORIA.............................................................................................................................................................2
DERECHOS DE AUTOR Y LICENCIA ..............................................................................................................................2
EDITORES ...................................................................................................................................................................2
AUTORES Y REVISORES ..............................................................................................................................................3
SOBRE ESTA VERSIÓN EN ESPAÑOL.............................................................................................................................3
HISTORIAL DE REVISIONES.........................................................................................................................................4
TABLA DE CONTENIDOS .......................................................................................................................................6
ACERCA DE OWASP..............................................................................................................................................13
ESTRUCTURA Y LICENCIAMIENTO ............................................................................................................................13
PARTICIPACIÓN Y MEMBRESÍA .................................................................................................................................13
PROYECTOS ..............................................................................................................................................................14
INTRODUCCIÓN .....................................................................................................................................................15
¿QUE SON LAS APLICACIONES WEB?.............................................................................................................17
DESCRIPCIÓN GENERAL ............................................................................................................................................17
TECNOLOGÍAS ..........................................................................................................................................................17
APLICACIONES DE PEQUEÑA A MEDIANA ESCALA.....................................................................................................21
APLICACIONES DE GRAN ESCALA..............................................................................................................................21
CONCLUSIÓN ............................................................................................................................................................24
ARQUITECTURA Y DISEÑO DE SEGURIDAD.................................................................................................25
MARCOS DE POLÍTICA ........................................................................................................................................26
SUMARIO..................................................................................................................................................................26
COMPROMISO ORGANIZACIONAL CON LA SEGURIDAD .............................................................................................26
LA POSICIÓN DE OWASP DENTRO DEL MARCO LEGISLATIVO..................................................................................27
METODOLOGÍA DE DESARROLLO .............................................................................................................................31
ESTÁNDARES DE CODIFICACIÓN...............................................................................................................................31
CONTROL DE CÓDIGO FUENTE .................................................................................................................................32
PRINCIPIOS DE CODIFICACIÓN SEGURA ......................................................................................................33
SUMARIO..................................................................................................................................................................33
CLASIFICACIÓN DE ACTIVOS.....................................................................................................................................33
SOBRE LOS ATACANTES............................................................................................................................................33
PILARES ESENCIALES DE LA SEGURIDAD DE LA INFORMACIÓN .................................................................................34
ARQUITECTURA DE SEGURIDAD ...............................................................................................................................34
PRINCIPIOS DE SEGURIDAD.......................................................................................................................................36
MODELADO DE RIESGO DE AMENAZA ..............................................................
Comentarios de: Una Guía para Construir Aplicaciones y Servicios Web Seguros (0)
No hay comentarios