Curso de OWASP Top 10: Riesgos en Aplicaciones
Curso de OWASP Top 10: Riesgos en Aplicaciones

Introducción a OWASP Top 10

1

Qué es OWASP Top 10

2

Cómo utilizar OWASP Top 10

3

Prepara tu laboratorio de pruebas

4

Conoce tu laboratorio de pruebas

Cómo utilizar el Top 10 de riesgos en aplicaciones

5

Broken Access Control

6

Cryptographic Failures

7

Injection

8

Insecure Design

9

Security Misconfiguration

10

Vulnerable and Outdated Components

11

Identification and Authentication Failures

12

Software and Data Integrity Failures

13

Security Logging and Monitoring Failures

14

Server-Side Request Forgery

Cómo implementar OWASP Top 10 en tu empresa

15

Reflexiones finales y recomendaciones

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Aprovecha el precio especial y haz tu profesión a prueba de IA

Antes: $249

Currency
$209
Suscríbete

Termina en:

0 Días
8 Hrs
42 Min
14 Seg
Curso de OWASP Top 10: Riesgos en Aplicaciones

Curso de OWASP Top 10: Riesgos en Aplicaciones

Diego Ademir Duarte Santana

Diego Ademir Duarte Santana

Software and Data Integrity Failures

12/15
Recursos

¿Qué son las fallas de integridad de software y datos?

En la era digital actual, los riesgos para la integridad del software y la protección de datos están en constante cambio y actualización. La seguridad de una aplicación puede verse comprometida cuando el código fuente no es gestionado adecuadamente, pudiendo poner en riesgo la confidencialidad, integridad e incluso la disponibilidad de datos. Un ejemplo claro de estas fallas es el caso de SolarWinds, donde una actualización maliciosa comprometió los datos de clientes a través de un ataque de cadena de suministro.

¿Cómo pueden afectar las fallas de integridad a una empresa?

Las consecuencias de una brecha de integridad en el software pueden ser devastadoras. En el caso de SolarWinds, el ataque afectó la disponibilidad de servicios internos y, como resultado, impactó a muchos clientes. Además, se alcanzó a filtrar datos importantes, comprometiendo la privacidad de los mismos. Este incidente subraya la importancia crítica de garantizar una sólida integridad del software para proteger los datos empresariales y personales.

¿Cuáles son las maneras más efectivas de mitigar riesgos de integridad?

Existen varios controles que pueden implementarse para mitigar los riesgos de integridad del software:

  • Revisión de código: Al revisar regularmente el código fuente, es posible detectar y corregir código malicioso. Todo cambio en el código debe estar firmado digitalmente para asegurar su autenticidad.
  • Auditoría de dependencias: Revisar y auditar las dependencias garantiza que se encuentran actualizadas y libres de vulnerabilidades conocidas.
  • Uso de cadenas de integridad: Incorporar hash que verifique la integridad de las librerías externas puede ayudar a evitar manipulaciones malintencionadas.

¿Cómo manejar fallas de integridad en aplicaciones con dependencias externas?

Las aplicaciones frecuentemente dependen de librerías externas, las cuales pueden convertirse en puntos de vulnerabilidad si no se manejan correctamente. Un método común de detección consiste en utilizar la consola de inspección de navegadores para identificar advertencias sobre librerías potencialmente maliciosas.

Ejemplo: Al inspeccionar un sitio web, es posible detectar versiones de jQuery obsoletas, lo cual es una vulnerabilidad común en pruebas de penetración. Para garantizar la integridad de una librería, se pueden aplicar cadenas de integridad que permiten verificar su autenticidad y origen.

<script src="library.js" integrity="sha384-..."></script>

¿Por qué los desarrolladores deben implementar el uso de parámetros de integridad?

El uso de cadenas de integridad es una práctica vital que muchos desarrolladores pasan por alto. Un ejemplo notable es Bootstrap, el cual aplica siempre parámetros de integridad en sus enlaces de referencia, asegurando así que las librerías utilizadas son confiables y auténticas. Este método es esencial para prevenir la inyección de código malicioso.

¿Cómo podemos asegurar la integridad desde el navegador?

Una vez aplicadas las medidas necesarias, como los parámetros de integridad, el resultado esperado al inspeccionar una página será la ausencia de alertas de malware o librerías no autorizadas. Este es un indicio fuerte de que la aplicación está salvaguardando correctamente la integridad de sus dependencias.

Animamos a los desarrolladores a hacer hincapié en las medidas de seguridad que protegen la integridad de sus aplicaciones. La seguridad efectiva de software no solo previene accesos no autorizados, sino que también transmite confianza tanto a los usuarios como a los clientes en la calidad de los servicios ofrecidos. ¿Validas las integridades de tus dependencias regularmente? Es hora de optimizar esas estrategias de seguridad. ¡No te detengas y sigue perfeccionando tus habilidades!

Aportes 7

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Fernando Alberto Velasquez Aguilera

Fernando Alberto Velasquez Aguilera

hace un año
### Cómo Abordar las Fallas de Integridad de Software y Datos Para mitigar los riesgos asociados con las fallas de integridad de software y datos, las organizaciones pueden adoptar varias estrategias y prácticas, que incluyen: 1. **Validación de la Integridad del Software**: Utilizar mecanismos como firmas digitales y hashes criptográficos para validar la integridad del software y las actualizaciones antes de su instalación o ejecución. Esto asegura que el software no ha sido alterado desde su origen. 2. **Uso de Repositorios de Confianza**: Obtener software y bibliotecas de repositorios oficiales y de confianza, que sigan prácticas seguras de desarrollo y distribución de software. 3. **Implementación de Controles de Acceso**: Restringir quién puede modificar el software y los datos, asegurando que solo los usuarios autorizados tengan la capacidad de realizar cambios. 4. **Automatización de las Actualizaciones de Seguridad**: Automatizar el proceso de actualización para el software y las bibliotecas para asegurar que se aplican los parches de seguridad de manera oportuna, reduciendo la ventana de oportunidad para que los atacantes exploten vulnerabilidades conocidas. 5. **Auditorías y Monitoreo de Seguridad**: Realizar auditorías de seguridad regulares y monitorear los sistemas en busca de indicadores de compromiso que puedan sugerir una violación de la integridad del software o los datos. 6. **Educación y Concienciación**: Capacitar al personal sobre la importancia de la integridad del software y los datos, incluyendo cómo reconocer y evitar prácticas riesgosas que podrían comprometer la seguridad.
Fernando Alberto Velasquez Aguilera

Fernando Alberto Velasquez Aguilera

hace un año
El uso de componentes vulnerables y desactualizados puede tener varios impactos negativos, que incluyen, entre otros: * **Exposición a ataques**: Las vulnerabilidades en componentes no actualizados pueden ser explotadas por atacantes para obtener acceso no autorizado, ejecutar código arbitrario, acceder a datos sensibles, o realizar ataques de denegación de servicio (DoS). * **Incumplimiento de normativas**: La falta de cumplimiento con estándares de seguridad y regulaciones puede resultar en sanciones legales y dañar la reputación de la organización. * **Pérdida de datos**: La explotación de vulnerabilidades puede llevar a la pérdida o exposición de datos sensibles de la empresa o de los usuarios. ### Estrategias de Mitigación Para mitigar los riesgos asociados con los componentes vulnerables y desactualizados, las organizaciones pueden adoptar varias estrategias: * **Inventario de componentes**: Mantener un inventario actualizado de todos los componentes de terceros utilizados en las aplicaciones, incluyendo sus versiones. * **Monitoreo y evaluación de vulnerabilidades**: Utilizar herramientas de escaneo de vulnerabilidades y suscripciones a bases de datos de vulnerabilidades para recibir alertas sobre nuevas vulnerabilidades en los componentes utilizados. * **Gestión de parches y actualizaciones**: Establecer un proceso sistemático para la aplicación oportuna de parches y actualizaciones a los componentes vulnerables. * **Política de seguridad para el uso de componentes de terceros**: Desarrollar y aplicar una política que defina los criterios para la selección, uso y mantenimiento de componentes de terceros, incluyendo la evaluación de seguridad antes de su adopción. * **Pruebas de seguridad**: Realizar pruebas de seguridad regularmente, incluyendo pruebas de penetración, para identificar y mitigar vulnerabilidades en las aplicaciones.
Diego Fernando Ramos Aguirre

Diego Fernando Ramos Aguirre

hace 10 meses
## **Software and Data Integrity Failures** Ocurre cuando existe un manejo inseguro del código o datos de la aplicación, que pone en riesgo su integridad. *Ejemplo* * Actualización maliciosa en ataque a cadena de suministro *Impacto* 1. Afectación en la disponibilidad de aplicaciones 2. Exfiltración de datos *Controles* 1. Code Review y cambios firmados digitalmente 2. Auditoría de dependencias y chequeo de sus vulnerabilidades
c3tuxpo2018

c3tuxpo2018

hace 2 meses
La exfiltración de datos se refiere al proceso de transferir datos de manera no autorizada desde un sistema o red hacia un lugar externo. Este acto suele ser realizado por ciberdelincuentes para robar información sensible, como datos personales, financieros o confidenciales de la empresa. Un ejemplo claro es el ataque a SolarWinds, donde se comprometieron datos de clientes a través de una actualización maliciosa en su cadena de suministro, mostrando la importancia de mantener la integridad del código y las dependencias en las aplicaciones.
c3tuxpo2018

c3tuxpo2018

hace 2 meses
SolarWinds sufrió un ciberataque de cadena de suministro cuando un proveedor de código recibió una actualización maliciosa. Esto comprometió la integridad de los datos de sus clientes, lo que resultó en la exfiltración de información y afectó la disponibilidad de sus servicios. Para mitigar riesgos como este, se recomienda hacer revisiones constantes del código (code review), firmar digitalmente los cambios y auditar las dependencias usadas.
Diego Reyes Cabrera

Diego Reyes Cabrera

hace 4 meses
El atributo `integrity` en los scripts de JavaScript se utiliza para asegurar la integridad de los archivos que se cargan desde una fuente externa. Funciona mediante la comparación de un hash (código único) de la versión esperada del archivo con el archivo real que se está cargando. Si los hashes no coinciden, el navegador bloquea la carga, previniendo así la ejecución de código malicioso. Para añadir un atributo `integrity` a una biblioteca externa, primero necesitas generar un hash de esa biblioteca. Esto se puede hacer utilizando herramientas como `SRI Hash Generator`, donde pegas el contenido de la librería y obtienes el hash. Luego, al incluir el script en tu HTML, lo haces de esta forma: ```html <script src="URL_DE_LA_LIBRERIA" integrity="sha384-EL_HASH_AQUI" crossorigin="anonymous"></script> ``` Asegúrate de usar el algoritmo correcto (`sha256`, `sha384`, o `sha512`) al generar el hash.
Emmanuel Guerra Sánchez

Emmanuel Guerra Sánchez

hace un año
`sha384-hcPGjDoygtQhBZoYYMYseVG7iJUjmBZjmRkdEAmt9qvyOqTmTe3bnokcWwr9wtyx`