Curso de Next.js: Seguridad Web con OWASP
Curso de Next.js: Seguridad Web con OWASP

Introducción

1

¿Qué tan seguro es tu sitio?

Validación de entradas

2

A1: injection

3

A7: cross-site scripting o XSS

4

Validando el user input en la página El Muro

5

Otras reglas de prevención

Autenticación rota

6

A2: broken authentication

7

Protección de sesiones en el cliente

8

¿Dónde guardar una sesión?

9

¿Dónde guardar tokens JWT?

10

Otras estrategias avanzadas de seguridad

Exposición de datos sensibles

11

A3: sensitive data exposure

12

Tokens firmados y encriptados

Próximos pasos

13

¿Quieres más cursos de Next.js?

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Iniciar sesión
Curso de Next.js: Seguridad Web con OWASP

Curso de Next.js: Seguridad Web con OWASP

Jonathan Alvarez

Jonathan Alvarez

Otras estrategias avanzadas de seguridad

10/13
Recursos

Aportes 4

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

o inicia sesión.

Carlos Eduardo Magallon Zepeda

Carlos Eduardo Magallon Zepeda

hace 2 años

Acabo de leerme el artículo completo de las dos cookies. Está genial.

Peter Locke propone llevar a cabo la autenticación diviendo el JWT en dos cookies:

  • header.payload. Con atributo secure y duración de 30 minutos. Pueden leerse por el frontend.
  • signature. Con atributo secure y HttpOnly. No disponible para el frontend y que se pierde una vez se cierra el browser.
Fernando Quinteros Gutierrez

Fernando Quinteros Gutierrez

hace un año

🎰 Otras estrategias avanzadas de seguridad

Recursos

Getting Token Authentication Right in a Stateless Single Page Application

Session Management - OWASP Cheat Sheet Series

Apuntes

“Nunca uses localStorage para guardar secretos”

  • Es común el fallo de guardar los JWT en los localStorage, esta es la peor forma de manipular la sesión, ya que siempre se guardará en el navegador

“Nunca desencriptar [tokens] en el cliente, usar siempre endpoints”

  • Si desencriptamos tokens en el cliente significa que debe guardar de alguna forma el secreto con el cual va a desencriptar dicha información y en el cliente no hay forma de proteger de buena manera dicho secreto
  • Por este motivo, la desencriptación se tienen que hacer ante un endpoint
  • En caso de ser aplicaciones estáticas, no significa que no podamos utilizar servicios de terceros encargados de esa tarea
    • Oauth es un servicio que funciona muy bien en páginas estáticas, ofreciéndonos endpoints con los cuales desde el cliente se pueden acceder a la sesión del cliente sin necesidad de guardar secretos en nuestra aplicación

Guardar Tokens

  • Web worker
    • Los web workers son un tipo de capa que existen entre la aplicación y el servidor, se situan exactamente en el medio.
    • El JS no tiene acceso al mismo
    • Interceptando los request, agregan el token guardado y mandarlo al servidor
    • En caso de que el servidor responda con datos sensibles, el web worker puede quitar la información sensible y mandarlo al JavaScript
    • No tiene soporte en algunos navegadores como Internet Explorer
    • Al ser utilizado dentro JavaScript puede estar expuesto a vulnerabilidades XSS ⇒ Por lo cual se deben usar cookies CSRF para mitigar dichos riesgos
  • Combinación de diferentes estrategias
  • Estrategia de dos cookies
Cesar González Caballero

Cesar González Caballero

hace 4 meses

Que bonito sería que nos enseñara a hacerlo y no que nos cuente qué no hacer nada más, curioso que en un curso de seguridad web platique pero no enseñe a hacerlo 😃

Luis Alfredo Quispe Villca

Luis Alfredo Quispe Villca

hace un año

Estrategia 2 cookies