Curso de Next.js: Seguridad Web con OWASP
Curso de Next.js: Seguridad Web con OWASP

Introducción

1

Seguridad Web con NextJS y OWASP Top 10

Validación de entradas

2

Prevención de Inyecciones SQL en Aplicaciones Web

3

Validación de Datos de Usuario en Formularios Web

4

Inyección de Ataques XSS y Prevención con Sanitized HTML

5

Buenas prácticas de seguridad en JavaScript: manejo de texto y validación

Autenticación rota

6

Autenticación Rota: Vulnerabilidades y Soluciones Prácticas

7

Protección de Sesiones y Recursos en Aplicaciones Next.js

8

Manejo Seguro de Sesiones y Cookies en Aplicaciones Web

9

Almacenamiento seguro de tokens JWT: Session Storage y cookies HTTP Only

10

Estrategias Seguras para Manejo de Sesiones y Autenticación

Exposición de datos sensibles

11

Protección de Datos Sensibles en JWT y Tokens de Sesión

12

Seguridad en Tokens JWT: Firma y Encriptación con NextAuth

Próximos pasos

13

Fortalecimiento de Seguridad en Aplicaciones NextJS y NextAuth

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Curso de Next.js: Seguridad Web con OWASP

Curso de Next.js: Seguridad Web con OWASP

Jonathan Alvarez

Jonathan Alvarez

Autenticación Rota: Vulnerabilidades y Soluciones Prácticas

6/13
Recursos

¿Qué es la autenticación rota?

La autenticación rota se encuentra entre los principales riesgos de seguridad web, según la lista OWASP Top 10. Se produce cuando malas configuraciones y malas implementaciones de autenticación crean vulnerabilidades explotables por atacantes. Entender cómo evitar estas situaciones es crucial para la seguridad de tu aplicación web.

¿Por qué la autenticación rota es tan crítica?

  • Vulnerabilidades abiertas: Dejar puertas abiertas en la autenticación permite que los atacantes accedan a información sensible.
  • Cultura organizacional: La seguridad es tanto un asunto de código como de cultura empresarial.
  • Contraseñas seguras: Se recomienda un mínimo de ocho caracteres para evitar accesos no autorizados.
  • Recuperación de contraseñas: Es uno de los puntos más explotados, razón por la que procesos seguros son esenciales.

¿Cuáles son algunos métodos para mejorar la autenticación?

Añadir capas de seguridad adicionales puede mitigar riesgos:

  • Autenticación de dos factores (2FA): Añade una segunda capa de seguridad.
  • CAPTCHA: Ayuda a verificar que la interacción es de un humano, no un bot.
  • Uso de servicios especializados: Evitar implementar soluciones propias de seguridad. Servicios como OffZero, Firebase o Magic ofrecen soluciones robustas de autenticación que mitigan riesgos asociados con gestionar contraseñas y sesiones.

¿Qué papel juegan los tokens en la autenticación?

Los tokens son una parte esencial para gestionar la autenticación segura:

  1. Identificación única: Permiten identificar al usuario sin requerir credenciales constantes.
  2. Refrigerar sesiones: Al usarse junto con mecanismos seguros, los tokens pueden mantener sesiones activas de manera segura.
  3. Seguridad en la transferencia de datos: Tokens como JWT se utilizan para proteger la información transmitida entre cliente y servidor.

Próximamente, nos enfocaremos en Next Auth para ver cómo estas prácticas se pueden implementar efectivamente, asegurando que nuestros sistemas resistan intentos de explotación desde el frontend.

¡Sigue aprendiendo y explorando! La ciberseguridad es un campo en constante evolución, y mantenerse informado es clave para proteger las aplicaciones web de amenazas emergentes.

Aportes 2

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Fernando Quinteros Gutierrez

Fernando Quinteros Gutierrez

hace 3 años

🛡️ A2: broken authentication

Apuntes

  • Autenticación rota se produce por malas implementaciones de autenticación en las cuales, crea muchas vulnerabilidades y puertas abiertas para crear riesgos utilizados por atacantes con fines maliciosos
  • Broken authentication no solo trata de código, sino también de cultura organizacional y de la empresa en las cuales interviene el cómo mejoran la seguridad del código

Recomendaciones

  • Forzar contraseñas seguras: mínimo 8 caracteres
  • Procesos de recuperación de contraseñas seguros
    • Este es uno de los factores en donde los atacantes sacan más provecho
  • 2FA, Captcha

“No hacerlo por tu cuenta”

  • Utilizar vanilla js, vanilla PHP o vanilla ruby no es muy ideal, y lo mejor es dejarlo en personas o servicios especializados en el área
  • No usar passwords ⇒ Mitigan muchos de los riesgos que existen, cuando debemos administrar sesiones y contraseñas
    • oAuth
    • OpenId
📌 **RESUMEN:** Se pueden crear muchas vulnerabilidades en nuestra aplicación por parte de la autenticación si se siguen malas implementaciones de la misma. Entre las recomendaciones que evitan estos problemas es delegar este apartado a servicios de terceros (Firebase, Auth0, ....) cuidar el proceso de recuperación de contraseñas y tratar de evitar passwords y utilizar autenticación por otros medios.
Jose Montoya

Jose Montoya

hace 3 años

Autenticación rota se produce por malas implementaciones de autenticación, las cuales crean vulnerabilidades y puertas abiertas. También tiene que ver la cultura organizacional y sus políticas de seguridad.

Recomendaciones

  • Forzar contraseñas seguras: mínimo 8 caracteres.
  • Procesos de recuperación de contraseñas seguros
    • 2FA, Captcha.
    • “No hacerlo por tu cuenta”.
  • Utilizar servicios o librerías especializadas y no hacerlo a mano, debido a las experiencia y confiabilidad en herramientas especializadas.
  • En la medida de lo posible apoyarse en sistemas de autenticación existentes (oAuth, OpenId) y no usar passwords nativamente.