PDF de programación - LAS 10 VULNERABILIDADES DE SEGURIDAD MAS CRITICAS EN APLICACIONES WEB

OWASP TOP 10



LAS 10 VULNERABILIDADES DE
SEGURIDAD MAS CRITICAS EN
APLICACIONES WEB



VERSION 2007 EN ESPAÑOL



© 2002-2007 Fundación OWASP

Este documento se encuentra bajo licencia Creative Commons Attribution-ShareAlike 2.5





TABLA DE CONTENIDOS



Tabla de contenidos ......................................................................................................................................................2

Sobre esta versión .........................................................................................................................................................3

Introducción ..................................................................................................................................................................4

Resumen ........................................................................................................................................................................5

Metodología ..................................................................................................................................................................6

A1 – Secuencia de Comandos en Sitios Cruzados (XSS)...............................................................................................10

A2 – Fallas de inyeccion...............................................................................................................................................13

A3 – Ejecución de ficheros malintencionados .............................................................................................................16

A4 – Referencia Directa a Objetos Insegura ................................................................................................................20

A5 – Vulnerabilidades de Falsificación de Petición en Sitios Cruzados (CSRF) ............................................................23

A6 – Revelación de Información y Gestión Incorrecta de Errores ...............................................................................26

A7 – Perdida de Autenticacion y Gestion de Sesiones ................................................................................................28

A8 – Almacenamiento criptografico inseguro .............................................................................................................30

A9 – Comunicaciones inseguras ..................................................................................................................................32

A10 – Falla de restricción de acceso a URL..................................................................................................................34

¿Donde sigo Ahora?.....................................................................................................................................................37

Referencias ..................................................................................................................................................................40



2





OWASP Top 10 2007

SOBRE ESTA VERSIÓN

Esta versión de Top 10 2007 en español ha sido desarrollada como parte de las actividades del capitulo OWASP
Spanish para la comunidad de desarrolladores y seguridad informática de habla hispana.

Participaron de esta traducción:

•

•

Fabio Cerullo

Jaime Blasco

• Miguel Tubia

• David Echarri

•

Emilio Casbas

• Miguel Macias

• Guillermo Correa

•

•

•

•

•

•

Luis Martinez Bacha

Camilo Vega

Jesús Gómez

Rodrigo Marcos

Juan Carlos Calderón

Javier Fernández-Sanguino

Para saber más sobre los eventos y actividades desarrolladas por el capítulo OWASP-Spanish, suscríbase a la lista
de distribución OWASP-Spanish.



3





INTRODUCCIÓN

¡Bienvenido al OWASP Top 10 2007! Esta versión totalmente revisada lista las vulnerabilidades más serias de
aplicaciones Web, discute como protegerse de ellas, y provee enlaces para mayor información.

OBJETIVO

El objetivo principal del OWASP Top 10 es educar a desarrolladores, diseñadores, arquitectos y organizaciones
sobre las consecuencias de las vulnerabilidades más comunes encontradas en aplicaciones Web. El Top 10 provee
métodos básicos para protegerse de dichas vulnerabilidades – un gran comienzo para un programa de seguridad
en programación segura.

Seguridad no es un evento único. Es insuficiente programar de manera segura sólo una vez. En 2008, este Top 10
habrá cambiado, y sin cambiar una línea de código en su aplicación, usted podría ser vulnerable. Por favor revise
los consejos en la sección ¿Donde sigo ahora? para mayor información.

Una iniciativa de programación segura debe abordar todas las etapas del ciclo de vida de un programa.
Aplicaciones Web seguras sólo son posibles cuando un SDLC seguro es utilizado. Los programas seguros son
seguros por diseño, durante el desarrollo, y por defecto. Existen al menos 300 problemas que afectan la seguridad
general de una aplicación Web. Estos son detallados en la Guía OWASP, la cual es de lectura esencial para
cualquiera desarrollando aplicaciones Web hoy en día.

Este documento es sobre todo, un recurso de estudio, y no un estándar. Por favor no adopte este documento
como una política o estándar sin antes hablar con nosotros. Si usted necesita una política o estándar de
codificación segura, OWASP dispone de proyectos en progreso sobre políticas o estándares de codificación segura.
Por favor considere unirse o asistir financieramente con estos esfuerzos.

AGRADECIMIENTOS

Quisiéramos agradecer a MITRE por distribuir públicamente y de manera gratuita los
datos de “Vulnerability Type Distribution in CVE”. El proyecto OWASP Top 10 es
dirigido y patrocinado por Aspect Security.

Líder de Proyecto: Andrew van der Stock (Director Ejecutivo, Fundación OWASP)

Co-autores: Jeff Williams (Presidente, Fundación OWASP), Dave Wichers (Presidente de la Conferencia, Fundación
OWASP)

Quisiéramos agradecer a nuestros revisores:

• Raoul Endres por su ayuda en poner nuevamente en movimiento el Top 10 y sus valiosos comentarios.

Steve Christey (MITRE) por una extensiva revisión y su contribución de información sobre MITRE CWE.

Jeremiah Grossman (White Hat Security) por una extensiva revisión y su contribución de información
acerca del éxito (o fracaso) de medios automáticos de detección.

Sylvan von Stuppe por su revisión ejemplar del presente documento.

Colin Wong, Nigel Evans, Andre Gironda, Neil Smithline por sus comentarios vía e-mail.

•

•

•

•

4





RESUMEN

A1 – Secuencia de Comandos
en Sitios Cruzados (XSS)

A2 – Fallas de Inyección

A3 – Ejecución de ficheros
malintencionados

A4 – Referencia Insegura y
Directa a Objetos



OWASP Top 10 2007

Las fallas de XSS ocurren cuando una aplicación toma información originada por un
usuario y la envía a un navegador Web sin primero validar o codificar el contenido. XSS
permite a los atacantes ejecutar secuencias de comandos en el navegador Web de la
víctima que pueden secuestrar sesiones de usuario, modificar sitios Web, insertar
contenido hostil, etc.

Las fallas de inyección, en particular la inyección SQL, son comunes en aplicaciones Web.
La inyección ocurre cuando los datos proporcionados por el usuario son enviados e
interpretados como parte de una orden o consulta. Los atacantes interrumpen el
intérprete para que ejecute comandos no intencionados proporcionando datos
especialmente modificados.

El código vulnerable a la inclusión remota de ficheros (RFI) permite a los atacantes
incluir código y datos maliciosos, resultando en ataques devastadores, tales como la
obtención de control total del servidor. Los ataques de ejecución de ficheros
malintencionados afectan a PHP, XML y cualquier entorno de trabajo que acepte
ficheros de los usuarios.

Una referencia directa a objetos (“direct object reference”) ocurre cuando un
programador expone una referencia hacia un objeto interno de la aplicación, tales como
un fichero, directorio, registro de base de datos, o una clave tal como una URL o un
parámetro de formulario Web. Un atacante podría manipular este tipo de referencias en
la aplicación para acceder a otros objetos sin autorización.

A5 – Falsificación de Petición
en Sitios Cruzados (CSRF)

Un ataque CSRF fuerza al navegador validado de una víctima a enviar una petición a una
aplicación Web vulnerable, la cual entonces realiza la acción elegida por el atacante a
través de la víctima. CSRF puede ser tan poderosa como la aplicación siendo atacada.

A6 – Revelación de
Información y Gestión
Incorrecta de Errores

Las aplicaciones pueden revelar, involuntariamente, información sobre su configuración,
su funcionamiento interno, o pueden violar la privacidad a través de una variedad de
problemas. Los atacantes pueden usar esta vulnerabilidad para obtener datos delicados
o realizar ataques más serios.

A7 – Perdida de Autenticación
y Gestión de Sesiones

Las credenciales de cuentas y los testigos de sesión (session token) frecuentemente no
son protegidos adecuadamente. Los atacantes obtienen contraseñas, claves, o testigos
de sesión para obtener identidades de otros usuarios.

A8 – Almacenamiento
Criptográfico Inseguro

Las aplicaciones Web raramente utilizan funciones criptográficas adecuadamente para
proteger datos y credenciales. Los atacantes usan datos débilmente protegidos para
llevar a cabo robos de identidad y otros crímenes, tales como fraude de tarjetas de
crédito.

A9 – Comunicaciones Inseguras

Las aplicaciones frecuentemente fallan al cifrar tráfico de red cuando es necesario
proteger comunicaciones delicadas.

A10 – Falla de restricción de
acceso a URL

Frecuentemente, una aplicación solo protege funcionalidades delicadas previniendo la
visualización de enlaces o URLs a usuarios no autorizados. Los atacantes utilizan esta
d