Seguridad aplicaciones web en Andalucia

[pic 3]

[pic 4]

Informe de divulgación

Seguridad en Aplicaciones Web

Tipo de documento:        Informe

Autor del documento:        AndalucíaCERT

Código del Documento:         CERT-IF-9831-160316

Edición:        0

Categoría         Uso Interno

Fecha de elaboración:        04/05/2016

Nº de Páginas        1 de 21

© 2016 Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A.

Este documento  y, en su caso, cualquier documento anexo al mismo, contiene información de carácter confidencial exclusivamente dirigida a su destinatario o destinatarios. Queda  prohibida su divulgación, copia o distribución a terceros sin la previa autorización escrita de “Sociedad Andaluza  para el  Desarrollo  de las  Telecomunicaciones  S.A.”.  Si no es Ud. el  destinatario  del  documento le  ruego lo  destruya  sin  hacer copia digital o física, comunicando a “Sociedad Andaluza para el Desarrollo de las Telecomunicaciones S.A.” vía e-mail o fax la recepción del presente documento.  Toda declaración de voluntad contenida deberá ser tenida por no producida.

1        TABLA DE  CONTENIDOS

TABL A DE  CONT E NID O S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

O BJE T IVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

ALCANCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

APL I CACI O NES W E B. ESTAD O D EL ART E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Arqui tec tu ra s web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Tec no l o g í a s web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

I nf ra e stru c tu ra s web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

APL I CACI O NES W E B. RI ES GO S Y AME NAZ AS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Proyec to OWAS P – OWAS P Top 10. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

O tros rie sg o s y c o n f i g u ra c i o n e s se g u ra s a ten e r e n c ue n ta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

APL I CACI O NES W E B. ESTR ATE GI A Y RE COM E NDACI O NE S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

De sa rrol l o se gu ro. Metod o l o g í a s y c i c l o d e vi d a d e un a a pl i ca c i ó n web se g u ra . . . . . . . . . . . . . . . . . . . . . 14

O tros a spe c tos y e stra teg i a s a ten e r en c ue n ta en e l de sa rrol l o / d e spl i e g u e de u na a pp. . . . . . . . 16

El e sl a bón ma s d é bi l . E l u su a rio  f i n a l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

CONCLUS I O NE S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

GLOS ARI O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

DO C UM E NTACI O N DE REF E RENC I A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2        OBJETIVO

El objeto de este documento es dar a conocer la situación actual del mercado de aplicaciones WEB

desde el punto de vista de la seguridad de la información.

3        ALCANCE

Este documento  va dirigido tanto al personal de la Junta de Andalucía, como al público en general. Pretende aportar las nociones básicas necesarias para entender  y tener conocimiento sobre la situación actual en cuanto a las aplicaciones web se refiere: el estado del arte (estructura de una página web, princi - pales plataformas e infraestructuras web, marco de desarrollo...), los riesgos y amenazas  a las que están expuestas (sus vectores de ataque, las vulnerabilidades más comunes...), así como la forma de abordar es- tos problemas (el  desarrollo seguro, las  principales  metodologías  de desarrollo, las tecnologías usadas para combatir a los cibercriminales...).

...