PDF de programación - OWASP Top 10 - 2010

O

Acerca de OWASP

Prefacio

Acerca de OWASP

El software inseguro esta debilitando actualmente nuestra
infraestructura critica financiera, de salud, defensa, energía, y otras.
A medida que nuestra infraestructura digital es cada vez más
compleja e interconectada, la dificultad de lograr que una aplicación
sea segura incrementa exponencialmente. Ya no podemos darnos el
lujo de tolerar los problemas de seguridad relativamente simples,
como los presentados en el OWASP Top 10.

El objetivo del proyecto Top 10 es crear conciencia sobre la
seguridad en aplicaciones mediante la identificación de algunos de
los riesgos más críticos que enfrentan las organizaciones. El
proyecto Top 10 es referenciado por numerosos estándares, libros,
y organizaciones, incluyendo MITRE, PCI DSS, DISA, FTC, y muchos
más. Esta versión del OWASP Top 10 marca el octavo año del
proyecto creando conciencia sobre la importancia de los riesgos de
seguridad en aplicaciones. El OWASP Top 10 fue lanzado por
primera vez en 2003, se hicieron actualizaciones menores en 2004 y
2007, y esta es la versión de 2010.

Lo invitamos a que utilice el Top 10 para que su organización se
inicie en la temática sobre seguridad en aplicaciones. Los
desarrolladores pueden aprender de los errores de otras
organizaciones. Los ejecutivos deben comenzar a pensar como
gestionar el riesgo que las aplicaciones de software crean en sus
empresas.

Pero el Top 10 no es un programa de seguridad en aplicaciones.
Mirando a futuro, OWASP recomienda que las organizaciones
establezcan una base sólida de formación, estándares y
herramientas que hagan posible la codificación segura. Por encima
de esa base, las organizaciones deben integrar la seguridad en su
desarrollo, verificación y procesos de mantenimiento. La gerencia
puede utilizar los datos generados por estas actividades para
gestionar los costos y riesgos asociados a la seguridad en
aplicaciones.

Esperamos que el Top 10 le resulte útil en sus esfuerzos sobre
seguridad en aplicaciones. Por favor no dude en contactarse con
OWASP con sus preguntas, comentarios, e ideas ya sea
públicamente a [email protected] o en privado a
[email protected].

http://www.owasp.org/index.php/Top_10

El proyecto abierto de seguridad en aplicaciones Web (OWASP por
sus siglas en inglés) es una comunidad abierta dedicada a habilitar a
las organizaciones para desarrollar, comprar y mantener aplicaciones
confiables. En OWASP encontrara recursos abiertos y gratuitos…

• Libros y estándares sobre seguridad en aplicaciones
• Libros completos sobre testeo de seguridad en aplicaciones,

desarrollo seguro de código, y revisión de seguridad del código

• Controles de seguridad estándares y librerías
• Capítulos Locales en distintos países
• Investigación de avanzada
• Conferencias alrededor del mundo
• Listas de Correo
• Y mucho más en www.owasp.org

Todas la herramientas, documentos, foros y capítulos de OWASP son
gratuitos y abiertos a cualquiera interesado en mejorar la seguridad
en aplicaciones. Abogamos por resolver la seguridad en aplicaciones
como un problema de gente, procesos y tecnología porque las
soluciones mas efectivas incluyen mejoras en todas estas áreas.

OWASP es un nuevo tipo de organización. Nuestra libertad de
presiones comerciales nos permite proveer información sobre
seguridad en aplicaciones sin sesgos, práctica y efectiva.

OWASP no está afiliada a ninguna compañía de tecnología, aunque
soportamos el uso informado de tecnologías de seguridad
comerciales. Parecido a muchos proyectos de software de código
abierto, OWASP produce muchos materiales en una manera abierta y
colaborativa.

La Fundación OWASP es una entidad sin ánimo de lucro para asegurar
el éxito a largo plazo del proyecto. Casi todos los miembros de
OWASP son voluntarios, incluyendo el Directorio OWASP, los Comités
Globales, Lideres de Capítulos, Lideres de Proyectos, y miembros de
proyectos. Nosotros apoyamos la investigación innovadora sobre
seguridad a través de becas e infraestructura.

Únete a nosotros!

Derechos de Autor y Licencia

Copyright © 2003 – 2010 Fundación OWASP

Este documento es publicado bajo la licencia Creative Commons Attribution ShareAlike 3.0. Para
cualquier reutilización o distribución, usted debe dejar en claro a otros los términos de la licencia sobre
este trabajo.

I

Bienvenido

Introducción

Bienvenido al OWASP Top 10 2010! Esta importante actualización representa una lista concisa y enfocada sobre los Diez Riesgos Más Críticos sobre Seguridad en
Aplicaciones. El OWASP Top 10 ha sido siempre sobre riesgos, pero esta actualización lo evidencia de mayor manera respecto a ediciones anteriores. También
provee información adicional sobre como evaluar estos riesgos en sus aplicaciones.

Por cada ítem en el Top 10, esta edición describe la probabilidad general y los factores de consecuencia que se utilizan para clasificar la gravedad típica del
riesgo. Luego presenta orientación sobre como verificar si usted posee problemas en esta área, como evitarlos, algunos ejemplos y enlaces a mayor información.

El objetivo principal del Top 10 es educar desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones sobre las consecuencias de las vulnerabilidades
de seguridad más importantes en aplicaciones web. El Top 10 provee técnicas básicas sobre como protegerse en estas áreas de alto riesgo – y también provee
orientación sobre los pasos a seguir.

Advertencia

Agradecimientos

No se detenga en el Top 10. Existen cientos de problemas que pueden
afectar la seguridad general de una aplicación web tal como se ha discutido
en la Guia de Desarrollo OWASP. Este documento es de lectura esencial para
cualquiera desarrollando aplicaciones web hoy en día. Una efectiva
orientación en como encontrar vulnerabilidades en aplicaciones web es
suministrada en la Guia de Testeo OWASP y laGuia de Revision de Codigo
OWASP, las cuales han sido significativamente actualizadas desde la ultima
edición del Top 10.

Cambio constante. Este Top 10 continuara cambiando. Incluso sin cambiar
una línea de código en su aplicación, la misma puede ser vulnerable a algo
que nadie haya pensado anteriormente. Por favor revise los consejos
detallados al final del Top 10 “Próximos pasos para Desarrolladores,
Verificadores y Organizaciones” para mayor información.
Piense positivamente. Cuando se encuentre preparado para dejar de buscar
vulnerabilidades y focalizarse en establecer controles seguros de
aplicaciones, OWASP ha producido el Application Security Verification
Standard (ASVS) como una guía para organizaciones y revisores de
aplicaciones que detalla los controles de seguridad a verificar en una
aplicación.

Utilice herramientas inteligentemente. Las vulnerabilidades de seguridad
pueden ser bastante complejas y encontrarse ocultas en montañas de
código. En virtualmente todos los casos, el enfoque mas eficiente y
económico para encontrar y eliminar estas vulnerabilidades es asignar
expertos armados de buenas herramientas para realizar esta tarea.

SDLC Seguro. Aplicaciones Web seguras son solo posibles cuando se utiliza
un SDLC Seguro. Para orientación sobre como implementar un SDLC Seguro,
leer el Open Software Assurance Maturity Model (SAMM), el cual es una
actualización significativa al OWASP CLASP Project.

Gracias a Aspect Security por iniciar, liderar, y actualizar el OWASP Top 10
desde su inicio en 2003, y a sus principales autores: Jeff Williams y Dave
Wichers.

Queremos agradecer a las siguientes organizaciones que contribuyeron con
datos sobre predominancia de vulnerabilidades para actualizar el Top 10
2010:

 Aspect Security
 MITRE – CVE
 Softtek
 WhiteHat Security Inc. – Statistics

También queremos agradecer a aquellos que han contribuido
significativamente tiempo o contenido revisando esta actualización del Top
10:

 Mike Boberski (Booz Allen Hamilton)
 Juan Carlos Calderon (Softtek)
 Michael Coates (Aspect Security)
 Jeremiah Grossman (WhiteHat Security Inc.)
 Jim Manico (por todos los podcasts sobre el Top 10)
 Paul Petefish (Solutionary Inc.)
 Eric Sheridan (Aspect Security)
 Neil Smithline (OneStopAppSecurity.com)
 Andrew van der Stock
 Colin Watson (Watson Hall, Ltd.)
 OWASP Denmark Chapter (Liderado por Ulf Munkedal)
 OWASP Sweden Chapter (Liderado por John Wilander)

Sobre esta versión en Español

Esta versión en español del OWASP Top 10 ha sido posible gracias a la colaboración totalmente voluntaria de:
• Fabio Cerullo – Coordinador del Proyecto
• Juan Calderon – Revisor de la Traducción
•Jose Antonio Guasch - Traductor
• Paulo Cesar Coronado - Traductor
• Rodrigo Marcos - Traductor
• Vicente Aguilera - Traductor
• Daniel Cabezas Molina - Traductor
• Edgar Sanchez - Traductor

RN

Notas sobre esta Versión 2010

¿Que ha cambiado del 2007 al 2010?

El escenario de amenazas para aplicaciones de Internet cambia constantemente. Los factores clave en esta evolución son los
avances hechos por los atacantes, la liberación de nueva tecnología, así como la instalación de sistemas cada vez más complejos.
Para mantener el ritmo, actualizamos periódicamente el OWASP Top 10. En esta versión 2010, hemos hecho tres cambios
significativos:
Aclaramos que el Top 10 es acerca del Top 10 de riesgos, no el Top 10 de las debilidades más comunes. Vea los detalles en la
página “Riesgos de seguridad en aplicaciones” más abajo.
Cambiamos nuestra metodología de clasificación para estimar el riesgo, en lugar de basarnos solamente en la frecuencia de la
debilidad asociada. Esto ha afectado el orden del Top 10, como puede ver en la tabla más abajo.
Reemplazamos dos elementos de la lista con dos nuevos elementos:

• AGREGADO: A6 – Defectuosa configuración de seguridad. Este problema fue A10 en el Top 10 del 2004: Administración
insegura de configuración, pero fue abandonado en el 2007 porque no fue considerado un problema de software. Sin
embargo, desde una perspec