ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

OWASP TOP 10


Enviado por   •  25 de Abril de 2020  •  Resumen  •  766 Palabras (4 Páginas)  •  159 Visitas

Página 1 de 4

Top 10 2007

Introducción

¡Bienvenido al Top 10 2007 de OWASP! Esta edición totalmente reescrita enumera las vulnerabilidades más graves de las aplicaciones web, describe cómo protegerse contra ellas y proporciona vínculos para obtener más información.

Propósito

El objetivo principal de OWASP Top 10 es educar a desarrolladores, diseñadores, arquitectos y organizaciones sobre las consecuencias de las vulnerabilidades de seguridad de aplicaciones web más comunes.  10 proporciona métodos básicos para proteger contra estas vulnerabilidades - un buen comienzo para su seguridad es la codificación de un programa.La Top

La seguridad no es un evento cronometrado.  tempo.  No es suficiente asegurar el código una vez. Para 2008, este Top 10 ha cambiado, y sin cambiar una línea de código de su aplicación, podría ser vulnerable. Por favor revise los consejos desde aquí para obtener más información.

La iniciativa de codificación debe abordar todas las etapas de un ciclo de vida del programa. Una aplicación web solo es segura solo cuando se utiliza un ciclo de vida de desarrollo de software (SDLC) seguro. Los programas seguros están diseñados, durante la fase de desarrollo, y de forma predeterminada. Hay al menos 300 problemas que afectan a la seguridad global de una aplicación web. Estas cuestiones 300 se detallan en la Guía de desarrollo de OWASP, que es esencial para leer a cualquier persona que desarrolle las aplicaciones web de hoy en día.

Este documento es principalmente una instrucción, no un estándar. Por favor, no adopte este documento como una política o estándar, sin hablar con nosotros en primer lugar! Si necesita una directiva de seguridad o codificación estándar, OWASP confía en codificar las políticas y estándares de proyecto en curso. Por favor considere unirse o ayudar financieramente con estos esfuerzos.


Síntesis

A1 - Scripting entre sitios (XSS)

Los defectos XSS se producen cada vez que una aplicación solicita datos al usuario y los envía a un navegador web sin validar ni codificar primero el contenido. XSS permite a los "atacantes" ejecutar scripts en el navegador de la víctima que puede secuestrar sesiones de usuario, sitios web dedesfiguración, posiblemente introducir gusanos, etc.

A2 - Realización de errores

La realización de errores, especialmente la ejecución de SQL, son comunes en las aplicaciones web. La ejecución se produce cuando el usuario ha proporcionado datos y se envía a un intérprete como parte de un comando o consulta.

Los atacantes de datos hostiles realizan trucos en el intérprete ejecutando comandos o modificando datos.

A3 - Ejecución de archivos "maliciosos"

El código vulnerable a la inclusión remota de archivos (RFI) permite a los piratas incluir código hostil a los datos, lo que resulta en ataques devastadores, como el compromiso total del servidor. La ejecución y el ataque del archivo "malicioso" afecta a PHP, XML y cualquier marco que acepte nombres de archivo o archivo de los usuarios.

A4 - Referencia insegura al objeto directo

Un objeto de referencia directa se produce cuando un desarrollador expone una referencia a un objeto de implementación, como un archivo, directorio, registro de base de datos o clave, como una dirección URL o un parámetro. Los atacantes pueden manipular referencias para acceder a otros objetos, sin permiso.

A5 - Falsificación de solicitudes entre sitios (CSRF)

Un ataque CSRF en el navegador, de la víctima, conectado para enviar una solicitud de autenticación previa vulnerable a una aplicación web, que luego obliga al navegador de la víctima a realizar una acción hostil en beneficio del atacante. CSRF puede ser tan potente como la aplicación web que se pega.

A6 - Pérdida de información y mal manejo

Las preguntas pueden perder información involuntariamente sobre su configuración, funcionamiento interno o violar la privacidad con una serie de problemas de aplicación. Los atacantes utilizan esta debilidad para robar datos confidenciales o para implicar ataques más graves.

A7 - Autenticación rota e

Gestión de sesiones

Sus credenciales y sesión de cuenta son buenas y a menudo no están protegidas correctamente. Los atacantes ponen en peligro la contraseña, las claves, la autenticación o asumen la identidad de otros usuarios.

A8 - Almacenamiento criptográfico inseguro

Las aplicaciones web rara vez utilizan el cifrado adecuado para proteger los datos y las credenciales.  Los atacantes   utilizan datos débilmente protegidos para robar identidades y hacer otros delitos, como el fraude con tarjetas de crédito.

A9 – Comunicación insegura

Las aplicaciones a menudo no cifran el tráfico de red cuando necesita proteger las comunicaciones.

A10 - Omisión de restricción de acceso URL

A menudo, una aplicación solo protege el comportamiento confidencial al impedir que los vínculos o las direcciones URL se expongan a usuarios no autorizados. Los atacantes pueden usar esta debilidad para acceder y realizar operaciones no autorizadas accediendo directamente a esas direcciones URL.

Tabla 1: Las 10 vulnerabilidades de las aplicaciones web para 2007

...

Descargar como (para miembros actualizados) txt (5 Kb) pdf (80 Kb) docx (11 Kb)
Leer 3 páginas más »
Disponible sólo en Clubensayos.com