PDF de programación - Una Guía para Construir Aplicaciones y Servicios Web Seguros

–



Una Guía para Construir
Aplicaciones y Servicios
Web Seguros


Edición 2.0 Black Hat



Julio 27, 2005



VERSION EN ESPAÑOL



Copyright © 2002-2005. The Open Web Application Security Project (OWASP). Todos los derechos reservados.

Se concede permiso para copiar, distribuir y / o modificar este documento siempre que se incluya este aviso

de derechos de autor y se mantenga la atribución a OWASP.





¡Error! No se encuentra el origen de la referencia.



A mis compañeros que dejan las cosas para más adelante y

adictos de TiVo, este libro demuestra que dado el tiempo

suficiente, todo es posible.

Andrew van der Stock, July 2005



Portada

Dedicatoria



Derechos de autor y licencia

© 2001 – 2005 Free Software Foundation.



La Guía está licenciada bajo la Licencia de Documentación Libre, una copia de la cual se

encuentra en el Apéndice. Se concede permiso para copiar, distribuir y / o modificar este

documento siempre que se incluya este aviso de derechos de autor y se mantenga la atribución a

OWASP.



Editores

La Guía ha tenido varios editores, todos los cuales han contribuido en gran medida como

autores, directores de proyectos, editores y más durante la larga gestación de la Guía.



Adrian Wiesmann

Andrew van der Stock

Mark Curphey

Ray Stirbei



2





Autores y Revisores

OWASP Guide 2.0


La Guía no estaría donde está hoy sin el generoso tiempo de voluntarios y esfuerzo de

muchas personas. Si usted es uno de ellos, y no en esta lista, póngase en contacto con Andrew

van der Stock, [email protected]



Abraham Kang

Adrian Wiesmann

Alex Russell

Amit Klein

Andrew van der Stock

Brian Greidanus

Christopher Todd

Darrel Grundy

David Endler

Denis Piliptchouk

Dennis Groves

Derek Browne

Eoin Keary

Ernesto Arroyo

Frank Lemmon

Gene McKenna

Hal Lockhart

Izhar By-Gad

Jeremy Poteet

José Pedro Arroyo

K.K. Mookhey

Kevin McLaughlin

Mark Curphey

Martin Eizner

Michael Howard

Mikael Simonsson

Neal Krawetz

Nigel Tranter

Raoul Endres

Ray Stirbei

Richard Parke

Robert Hansen

Roy McNamara

Steve Taylor

Sverre Huseby

Tim Smith

William Hau

Sobre esta versión en español

Esta versión de la Guía en español ha sido desarrollada como parte de las actividades del

capitulo OWASP Spanish para la comunidad de desarrolladores y seguridad informática de habla

hispana.

Participaron de esta traducción:

Bacha, Luis Martinez

Cerullo, Fabio



Loza, Ana

Calderon, Juan C.

Gausch, Jose Antonio

Ramos, Alejandro

Casbas, Emilio



Gomez, Jesús



Salas, Aldo

Para saber mas sobre los eventos y actividades desarrolladas por el capitulo OWASP-

Spanish, suscríbase a la lista de distribución OWASP-Spanish.



3





Historial de Revisiones

Fecha

Junio 2002

Version

1.0

Junio 2002

1.0.1

Septiembre 2002

1.1

Septiembre 2002

1.1.1

Junio 2004

2.0a1

Noviembre 2004

2.0a2

¡Error! No se le ha dado un nombre al marcador.



Paginas

Notas

93

93

98

70

104

149

Mark Curphy, Coordinador de la

Guia

Documento Original Word perdido.

Mark Curphy, Coordinador de la

Guia

Cambios menores.

Mark Curphey, Coordinador de la

Guia

Documento Original TeX perdido.

Mark Curphey, Coordinador de la

Guia

Documento Original DocBook

XML perdido.

Adrian Wiesmann, Coordinador de

la Guia

Formato DocBook XML

Adrian Wiesmann, Coordinador de

la Guia

Formato DocBook XML

Diciembre 2004 – Abril

2.0a3 – 2.0a7

134 – 156 paginas

Andrew van der Stock, Coordinador

2005

de la Guia

Formato Word

Junio 2005

2.0b1

211 paginas

Andrew van der Stock, Coordinador

de la Guia

Formato Word

Julio 24, 2005

2.0 Release Candidate

262 paginas

Andrew van der Stock, Coordinador

de la Guia

Formato Word

Julio 26, 2005

2.0 Blackhat Edition

280 paginas

Andrew van der Stock, Coordinador

de la Guia

Formato Word

Julio 27, 2005

2.0.1 Blackhat Edition++

293 paginas

Revision del capitulo de criptografia

por Michael Howard incorporado a

la Guia



4





OWASP Guide 2.0


Si usted tiene una copia de cualquiera de las versiones originales perdidas de OWASP (es

decir, los originales de Word, TeX, o DocBook), nos encantaría saber de usted:

[email protected]



5





Tabla de Contenidos

¡Error! No se le ha dado un nombre al marcador.



PORTADA ...................................................................................................................................................................2
DEDICATORIA.............................................................................................................................................................2
DERECHOS DE AUTOR Y LICENCIA ..............................................................................................................................2
EDITORES ...................................................................................................................................................................2
AUTORES Y REVISORES ..............................................................................................................................................3
SOBRE ESTA VERSIÓN EN ESPAÑOL.............................................................................................................................3
HISTORIAL DE REVISIONES.........................................................................................................................................4
TABLA DE CONTENIDOS .......................................................................................................................................6
ACERCA DE OWASP..............................................................................................................................................13
ESTRUCTURA Y LICENCIAMIENTO ............................................................................................................................13
PARTICIPACIÓN Y MEMBRESÍA .................................................................................................................................13
PROYECTOS ..............................................................................................................................................................14
INTRODUCCIÓN .....................................................................................................................................................15
¿QUE SON LAS APLICACIONES WEB?.............................................................................................................17
DESCRIPCIÓN GENERAL ............................................................................................................................................17
TECNOLOGÍAS ..........................................................................................................................................................17
APLICACIONES DE PEQUEÑA A MEDIANA ESCALA.....................................................................................................21
APLICACIONES DE GRAN ESCALA..............................................................................................................................21
CONCLUSIÓN ............................................................................................................................................................24
ARQUITECTURA Y DISEÑO DE SEGURIDAD.................................................................................................25
MARCOS DE POLÍTICA ........................................................................................................................................26
SUMARIO..................................................................................................................................................................26
COMPROMISO ORGANIZACIONAL CON LA SEGURIDAD .............................................................................................26
LA POSICIÓN DE OWASP DENTRO DEL MARCO LEGISLATIVO..................................................................................27
METODOLOGÍA DE DESARROLLO .............................................................................................................................31
ESTÁNDARES DE CODIFICACIÓN...............................................................................................................................31
CONTROL DE CÓDIGO FUENTE .................................................................................................................................32
PRINCIPIOS DE CODIFICACIÓN SEGURA ......................................................................................................33
SUMARIO..................................................................................................................................................................33
CLASIFICACIÓN DE ACTIVOS.....................................................................................................................................33
SOBRE LOS ATACANTES............................................................................................................................................33
PILARES ESENCIALES DE LA SEGURIDAD DE LA INFORMACIÓN .................................................................................34
ARQUITECTURA DE SEGURIDAD ...............................................................................................................................34
PRINCIPIOS DE SEGURIDAD.......................................................................................................................................36
MODELADO DE RIESGO DE AMENAZA ..............................................................