Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Código seguro

9/15
Recursos

Aportes 46

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

😋 ¿Qué es la Fundación OWASP? (Open Web Application Security Project):

  • 🖥️ Es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software.

  • 🖥️ La Fundación OWASP es la fuente para que los desarrolladores y tecnólogos protejan la web. Herramientas y recursos Comunidad y redes Educación y formación.

  • 🖥️ Durante casi dos décadas, corporaciones, fundaciones, desarrolladores y voluntarios han apoyado a la Fundación OWASP y su trabajo.

🛡 La ciberseguridad debe estar presente en todas las fases del ciclo de vida del software.

Creo que la profesora genera una confusión cuando se habla de Zeroday… lo cual es una vulnerabilidad (sin parche) el exploit es lo que se programa posterior a la detección de dicha vulnerabilidad para explotarla…

Una vez desplegada nuestra aplicacion en un entorno real, es importante tener en cuenta los siguientes tres puntos:

  • Confidencialidad de los datos
  • Integridad de los datos
  • Disponibilidad de los datos

Aca pueden encontar el TOP 10 de los riesgos de las aplicaciones WEB segun OWASP:)
https://owasp.org/www-project-top-ten/

Interesante clase. Comparto dos enlaces donde se explica a profundidad la diferencia entre vulnerabilidades de día cero y ataques de día cero.
https://searchsecurity.techtarget.com/definition/zero-day-vulnerability
https://www.fireeye.com/current-threats/what-is-a-zero-day-exploit.html#:~:text=Zero-day exploit%3A an advanced,anyone realizes something is wrong.

Les recomiendo este sitio https://www.cisecurity.org/

Encontré este riesgo, y me pareció muy importante de conocer. Ofrece una guía muy directa para comenzar a establecer medidas para proteger los datos de una organización.
Sensitive data exposure

Creo ahi es importante tomar consciencia al desarrollar software de las pruebas que se puedan hacer para mitigar en lo posible los ataques al codigo apegandose a las best practices

Muy buenas referencias!

Resumen de la clase:
Código seguro

Ciclo de vida del desarrollo de software:

  • Requerimiento

  • Diseño

  • Desarrollo

  • Pruebas

  • Despliegue

  • Operaciones

¿En que parte entra la cyberseguridad?

En todas ellas, porque desde que estamos creando una aplicación estamos haciendo los requerimientos es importante que se tomen en cuenta los requisitos de seguridad, al momento de diseñar puede haber aspectos que pueden cambiar mucho las cosas (por ejemplo: las contraseñas que pones siempre van ocultas) también en el desarrollo es muy importante que los programadores conozcan de buenas prácticas de seguridad por ejemplo si envías datos sensibles y los estas almacenando en algún lugar esos datos siempre deben ir cifrados, seguido el desarrollo una vez que se termine y se estén haciendo pruebas lo único de lo que nos deberíamos de asegurar es que se hallan tomado en cuenta los escenarios de ataque posibles y que los datos sean protegidos de manera segura.

Una vez que estamos desplegando nuestra aplicación en un entorno real es también importante preocuparnos por tres puntos importantes:

  1. Confidencialidad.
  2. Integridad.
  3. Disponibilidad.

A este triángulo de ciberseguridad también se le conoce como CIA:

  • Confidenciality
  • Integrity
  • Availability

Es importante una vez se halla lanzado la aplicación obtener FeedBack (Retroalimientación) de los usuarios para encontrar alguna vulnerabilidad que se nos pudo haber ido de las manos.

Un ejemplo de esto son los Zeroday, lo cual es una vulnerabilidad (sin parche), el exploit es lo que se programa posterior a la detección de dicha vulnerabilidad para explotarla.

OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

La aplicación de código seguro es una idea de la Ingeniería de Software que busca que un producto desarrollado continúe funcionando correctamente ante ataques maliciosos y puede ser vista como una medida de robustez de un sistema de software, respecto a una política de seguridad. Es decir, que la raíz de muchos problemas de seguridad está en que el software falla de forma inesperada.

https://owasp.org/Top10/A03_2021-Injection/ me gustan muchos estos temas de bases de datos y por eso quiero estudiar ciberseguridad para desarrollar bases de datos mas seguras.

El control de acceso roto, es una clara vulnerabilidad que ha tomado fuerza el año 2021.

https://owasp.org/Top10/A01_2021-Broken_Access_Control/

En este link pueden encontrar el marco de conocimiento de seguridad de OWASP
https://owasp.org/www-project-security-knowledge-framework/

Es importante no solo saber de OWASP, sino entenderlo.

Solo si conocemos el origen, podemos evitar que vuelva a suceder.

Éxitos

Verificar que, en el servidor, todas las copias almacenadas en caché o temporales de datos sensibles estén protegidos de accesos no autorizados o son purgados/invalidados después del acceso por parte del usuario autorizado.

OWASP reglas basicas y super necesarias para todo desarrollo de una aplicacion

https://owasp.org/www-project-web-security-testing-guide/

sOBRE TESING DE SEGURIDAD, YO VENGO DE AREA DE PRUEBS DE RENDIMIENTO.

OWASP

Feedback de usuarios

Despliegue y requerimientos

Desarrollo

Diseño

Requerimientos

Ciclo de vida del desarrollo de software

El estándar que se debería tener en cuenta a la hora de desarrollar es el MASVS que se encuentra aquí (https://owasp.org/www-project-mobile-security-testing-guide/) y el cual contiene información relevante que permitirá a cualquier desarrollador o arquitecto de software tomar mejores decisiones a la hora de elaborar proyectos.

Relamente muy interesante, fascinado ando con el mundo de laciberseguridad. Realmente no entendemos completamente el alcance, solo hasta cuando comenzamos a involucrarnos en este fantastico mundo.

Documento: OWASP Top Ten: hace referecia a los riesgos más comunes de seguridad en el ámbito digital y de la programación. Este tipo de guía pone en conocimiento de los programadores los aspectos con mayores riesgos de seguridad que deben fortalecer durante la elaboración de sus programas y aplicaciones.

https://cheatsheetseries.owasp.org/
cuenta con una guia rapida de diversos temas

Recomiendo que se lean el libro de clean code, es un recurso super util que tambien nos ofrece para este mundo.

Resumen en Notion
https://n9.cl/wq8x8

Chale, ya no están los cursos de OWASP

Del Top 10 de OWASP me sorprende ver que el primer lugar lo ocupan las inyecciones SQL, por lo visto hay desarrolladores que no hacen uso de buenas prácticas de programación y diseño web.
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

me pareció muy interesante la forma en la que el programador tiene definido su estructura para que no se le olvide ingresar el algoritmo para modificar la visualización de la contraseña en símbolo de asterisco como el usuario final que por alguna razón puede llegar a olvidarse de ocultar datos o contraseñas importantes este algoritmo lo ayuda a proteger sus datos inconscientemente

si la ciberseguridad ahora esta muy presente en la vida mas que ahora la tecnología avanzado mucho tan en servidores como telefono y red web.

Con la herramienta SONAR se pueden llevar a cabo pruebas del nuestro código.

Código seguro

  • requerimiento
  • diseño
  • desarrollo
  • operaciones
  • despliegue
  • pruebas

La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

El proyecto Top 10, de OWASP da a las empresas información sobre posibles ataques a la infraestructura web, donde muestra situaciones mas utilizadas para que las organizaciones puedan hacer un despliegue de seguridad ante estos futuros ataques.

También brindan la opción a las empresas de mostrar su top 10 de posibles casos, ya que todas pueden tener ataques diferentes y ser vulnerables en diferentes formas.

El curso de OWASP ya lo tienen fuera

Documentación importante OWASP Top 10 para webapps, serverless, mobile, API, adicionalmente cheatsheetseries

SQL Injection
Creo que es el ataque más común que se puede hacer y al que tenemos que estar muy atentos, sobre todo si vamos a manejar el backend de una aplicación.

La calidad se emplea en todo el ciclo de desarrollo del software o debería aplicarse.

Saludos.

Buena explicación