PDF de programación - OWASP Top 10 2013 Los diez riesgos más críticos en Aplicaciones Web

O
  Acerca
 de
 OWASP
 

infraestructuras
  crí=cas.
  A
  medida
  que
 

Prefacio
 

 
El
  soNware
  inseguro
  está
  debilitando
  las
  finanzas,
  salud,
  defensa,
 
energía,
  y
  otras
 
la
 
infraestructura
  digital
  se
  hace
  cada
  vez
  más
  compleja
  e
 
interconectada,
 la
 dificultad
 de
 lograr
 la
 seguridad
 en
 aplicaciones
 
aumenta
  exponencialmente.
  No
  se
  puede
  dar
  el
  lujo
  de
  tolerar
 
problemas
  de
  seguridad
  rela=vamente
  sencillos,
  como
  los
  que
  se
 
presentan
 en
 este
 OWASP
 Top
 10.
 

 
El
  obje=vo
  del
  proyecto
  Top
  10
  es
  crear
  conciencia
  acerca
  de
  la
 
seguridad
 en
 aplicaciones
 mediante
 la
 iden=ficación
 de
 algunos
 de
 
los
  riesgos
  más
  crí=cos
  que
  enfrentan
 
las
  organizaciones.
  El
 
proyecto
  Top
  10
  es
  referenciado
  por
  muchos
  estándares,
  libros,
 
herramientas,
  y
  organizaciones,
  incluyendo
  MITRE,
  PCI
  DSS,
  DISA,
 
FCT,
  y
  muchos
  más
  .
  Esta
  versión
  de
  OWASP
  Top
  10
  marca
  el
 
aniversario
 número
 diez
 de
 este
 proyecto,
 de
 concien=zación
 sobre
 
la
 importancia
 de
 los
 riesgos
 de
 seguridad
 en
 aplicaciones.
 OWASP
 
Top
  10
  fue
  lanzado
  por
  primera
  vez
  en
  2003,
  con
  actualizaciones
 
menores
  en
  2004
  y
  2007.
  La
  versión
  2010
  fue
  renovada
  para
  dar
 
prioridad
 al
 riesgo,
 no
 sólo
 a
 la
 prevalencia.
 La
 edición
 2013
 sigue
 el
 
mismo
 enfoque.
 

 
Lo
 invitamos
 a
 que
 u=lice
 el
 Top
 10
 para
 hacer
 que
 su
 organización
 
se
  inicie
  en
  la
  temá=ca
  sobre
  seguridad
  en
  aplicaciones.
  Los
 
desarrolladores
  pueden
  aprender
  de
 
los
  errores
  de
  otras
 
organizaciones.
  Los
  ejecu=vos
  deben
  comenzar
  a
  pensar
  como
 
ges=onar
  el
  riesgo
  que
  las
  aplicaciones
  de
  soNware
  crean
  en
  sus
 
empresas.
 

 
A
 largo
 plazo,
 le
 recomendamos
 que
 cree
 un
 programa
 de
 seguridad
 
en
 aplicaciones
 que
 sea
 compa=ble
 con
 su
 cultura
 y
 su
 tecnología.
 
Estos
  programas
  vienen
  en
  todas
  las
  formas
  y
  tamaños,
  y
  debe
 
evitar
  tratar
  de
  hacer
  todo
  lo
  prescrito
  por
  algún
  modelo
  de
 
procesos.
 En
 cambio,
 debe
 de
 aprovechar
 las
 fortalezas
 existentes
 
en
 su
 organización
 para
 hacer
 y
 medir
 lo
 que
 le
 funcione
 a
 usted.
 
Esperamos
  que
  OWASP
  Top
  10
  sea
  ú=l
  para
  sus
  esfuerzos
  de
 
seguridad
  en
  aplicaciones.
  Por
  favor
  no
  dude
  en
  ponerse
  en
 
contacto
 con
 OWASP
 para
 sus
 dudas,
 comentarios,
 e
 ideas,
 ya
 sea
 
públicamente
  a
 

  owasp-­‐[email protected]
  o
  en
  privado
  a
 
 
[email protected].
 
 

Acerca
 de
 OWASP
 

 
El
  proyecto
  abierto
  de
  seguridad
  en
  aplicaciones
  Web
  (OWASP
  por
 
sus
 siglas
 en
 inglés)
 es
 una
 comunidad
 abierta
 dedicada
 a
 facultar
 a
 
las
 organizaciones
 a
 desarrollar,
 adquirir
 y
 mantener
 aplicaciones
 que
 
pueden
 ser
 confiables.
 En
 OWASP
 encontrará
 gratuitas
 y
 abiertas
 …
 

 

•  Herramientas
 y
 estándares
 de
 seguridad
 en
 aplicaciones
 
•  Libros
  completos
  de
  revisiones
  de
  seguridad
  en
  aplicaciones,
 
desarrollo
 de
 código
 fuente
 seguro,
 y
 revisiones
 de
 seguridad
 en
 
código
 fuente
 

•  Controles
 de
 seguridad
 estándar
 y
 librerías
 
•  Capítulos
 locales
 en
 todo
 el
 mundo
 
•  Inves=gaciones
 de
 vanguardia
 
 
•  Extensas
 conferencias
 alrededor
 del
 mundo
 
•  Listas
 de
 correo
 

 

Aprenda
 más
 en:
 hGps://www.owasp.org
 

 
Todas
  las
  herramientas
  de
  OWASP,
  documentos,
  foros,
  y
  capítulos
 
son
  gratuitas
  y
  abiertas
  a
  cualquiera
  interesado
  en
  mejorar
  la
 
seguridad
  en
  aplicaciones.
  Abogamos
  por
  resolver
  la
  seguridad
  en
 
aplicaciones
 como
 un
 problema
 de
 personas,
 procesos
 y
 tecnología,
 
ya
 que
 los
 enfoques
 más
 efec=vos
 para
 la
 seguridad
 en
 aplicaciones
 
requieren
 mejoras
 en
 todas
 estas
 áreas.
 

 
OWASP
  es
  un
  nuevo
  =po
  de
  organización.
  Nuestra
  libertad
  de
 
presiones
  comerciales
  nos
  permite
  proveer
 
información
  sobre
 
seguridad
 en
 aplicaciones
 sin
 sesgos,
 prác=ca
 y
 efec=va.
 OWASP
 no
 
está
 afiliada
 con
 ninguna
 compañía
 de
 tecnología,
 aunque
 apoyamos
 
el
 uso
 instruido
 de
 tecnologías
 de
 seguridad
 comercial.
 Al
 igual
 que
 
muchos
  otros
  proyectos
  de
  soNware
  de
  código
  abierto,
  OWASP
 
produce
  muchos
  =pos
  de
  materiales
  en
  una
  manera
  abierta
  y
 
colabora=va.
 

 
La
 fundación
 OWASP
 es
 una
 en=dad
 sin
 ánimo
 de
 lucro
 para
 asegurar
 
el
  éxito
  a
  largo
  plazo
  del
  proyecto.
  Casi
  todos
  los
  asociados
  con
 
OWASP
  son
  voluntarios,
  incluyendo
  la
  junta
  direc=va
  de
  OWASP,
 
comités
  globales,
  líderes
  de
  capítulos,
  los
  líderes
  y
  miembros
  de
 
proyectos.
  Apoyamos
  la
  inves=gación
  innovadora
  sobre
  seguridad
  a
 
través
 de
 becas
 e
 infraestructura.
 

 
¡Únase
 a
 nosotros!
 

Derechos
 de
 Autor
 y
 Licencia
 

Copyright
 ©
 2003
 –
 2013
 The
 OWASP
 Founda=on
 

 
Este
 documento
 se
 distribuye
 bajo
 la
 licencia
 3.0
 de
 Crea=ve
 Commons
 AGribu=on
 ShareAlike.
 Para
 cualquier
 
reu=lización
 o
 distribución,
 debe
 dejar
 claro
 los
 términos
 de
 la
 licencia
 de
 esta
 obra.
 

I
 

Introducción
 

Bienvenidos
 
Bienvenidos
 al
 OWASP
 Top
 10
 2013!
 Esta
 actualización
 profundiza
 sobre
 una
 de
 las
 categorías
 de
 la
 versión
 2010,
 a
 fin
 de
 ser
 más
 inclusivo,
 
sobre
 importantes
 vulnerabilidades
 comunes,
 y
 reordena
 algunos
 de
 los
 demás
 basándose
 en
 el
 cambio
 de
 los
 datos
 de
 prevalencia.
 También
 
presenta
 un
 componente
 de
 seguridad
 como
 centro
 de
 atención,
 mediante
 la
 creación
 de
 una
 categoría
 específica
 para
 este
 riesgo,
 sacándolo
 
de
 la
 oscuridad
 
 de
 la
 letra
 pequeña
 del
 Top
 Ten
 2010;
 
 A6:
 La
 configuración
 de
 seguridad
 incorrecta.
 

 
El
  OWASP
  Top
  10
  2013,
  se
  basa
  en
  8
  conjuntos
  de
  datos
  de
  7
  firmas
  especializadas
  en
  seguridad
  de
  aplicaciones,
  incluyendo
  4
  empresas
 
consultoras
  y
  3
  proveedores
  de
  herramientas
  /SaaS
  (1
  está=co,
  dinámico
  1,
  y
  1
  con
  ambos).
  Estos
  datos
  abarcan
  más
  de
  500.000
 
vulnerabilidades
 a
 través
 de
 cientos
 de
 organizaciones
 y
 miles
 de
 aplicaciones.
 Las
 vulnerabilidades
 del
 Top
 10
 son
 seleccionadas
 y
 priorizadas
 
de
 acuerdo
 a
 estos
 datos
 de
 prevalencia,
 en
 combinación
 con
 es=maciones
 consensuadas
 de
 explotabilidad,
 detectabilidad
 e
 impacto.
 

 
El
 obje=vo
 principal
 del
 Top
 10
 es
 educar
 a
 los
 desarrolladores,
 diseñadores,
 arquitectos,
 gerentes,
 y
 organizaciones
 ;
 sobre
 las
 consecuencias
 
de
 las
 vulnerabilidades
 de
 seguridad
 más
 importantes
 en
 aplicaciones
 web.
 El
 Top
 10
 provee
 técnicas
 básicas
 sobre
 como
 protegerse
 en
 estas
 
áreas
 de
 alto
 riesgo
 –
 y
 también
 provee
 orientación
 sobre
 los
 pasos
 a
 seguir.
 
 

las
  Guía
  de
  Pruebas
  OWASP
  y
 

Advertencias
 

 
No
  se
  detenga
  en
  el
  Top
  10.
  Existen
  cientos
  de
  problemas
  que
 
pueden
 afectar
 la
 seguridad
 en
 general
 de
 una
 aplicación
 web
 ,
 tal
 
como
  se
  ha
  discu=do
  en
 
la
  Guía
  de
  Desarrollo
  OWASP
  y
 
OWASP
  Cheat
  Sheet.
  Este
  documento
  es
  de
  lectura
  esencial
  para
 
cualquiera
 que
 desarrolle
 aplicaciones
 web
 hoy
 en
 día.
 Una
 efec=va
 
orientación
  en
  como
  encontrar
  vulnerabilidades
  en
  aplicaciones
 
web
  es
  suministrada
  en
 
la
 
Guía
 de
 Revisión
 de
 Código
 OWASP.
 

 
Cambio
 constante.
 Este
 Top
 10
 con=nuará
 cambiando.
 Incluso
 sin
 
cambiar
 una
 sola
 línea
 de
 código
 en
 la
 aplicación,
 es
 posible
 llegar
 a
 
ser
 vulnerable,
 
 ya
 que
 al
 descubrirse
 nuevos
 defectos,
 los
 ataques
 
son
  refinados.