Curso de OWASP Top 10: Riesgos en Aplicaciones
Curso de OWASP Top 10: Riesgos en Aplicaciones

Introducción a OWASP Top 10

1

Protección de Aplicaciones Web: OWASP Top 10 en Práctica

2

Seguridad en Aplicaciones con OWASP y OBS Top 10

3

Python: Buenas prácticas y ejemplos avanzados

4

OWASP Top 10: Análisis y Exploit de Vulnerabilidades Web

Cómo utilizar el Top 10 de riesgos en aplicaciones

5

Control de Acceso: Mitigación de Riesgos en Aplicaciones Web

6

Cifrado Seguro en Aplicaciones Web: Protección de Datos Sensibles

7

Prevención de Inyección SQL en Aplicaciones Web y Móviles

8

Diseño Seguro en Aplicaciones: Prácticas y Prevención de Riesgos

9

Hardening de Servidores: Fortalecimiento y Buenas Prácticas

10

Mitigación de Denegación de Servicio en Aplicaciones Web

11

Protección de datos: Evita contraseñas débiles en aplicaciones

12

Gestión Segura de Dependencias y Código Fuente en Aplicaciones

13

Monitoreo de Fallos de Seguridad en Aplicaciones Web

14

Prevención de ataques SSRF en aplicaciones web

Cómo implementar OWASP Top 10 en tu empresa

15

Controles de Seguridad en Aplicaciones Web y Móviles

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Curso de OWASP Top 10: Riesgos en Aplicaciones

Curso de OWASP Top 10: Riesgos en Aplicaciones

Diego Ademir Duarte Santana

Diego Ademir Duarte Santana

Mitigación de Denegación de Servicio en Aplicaciones Web

10/15
Recursos

¿Qué son los componentes vulnerables y desactualizados?

La seguridad en el desarrollo de aplicaciones es crucial para proteger datos y mantener la confianza del cliente. Un riesgo común es el uso de componentes vulnerables o desactualizados. Estos componentes pueden desatar problemas de arquitectura insegura y afectar negativamente la disponibilidad de una aplicación. Un clásico ejemplo de ello es el ataque de denegación de servicios (DoS), que ocurre cuando las peticiones mal formadas saturan una aplicación, haciéndola inaccesible para usuarios legítimos.

¿Cómo se manifiestan los ataques de denegación de servicios?

Una denegación de servicios se produce al recibir una cantidad exorbitante de peticiones que el sistema no puede manejar. Este fenómeno compromete la disponibilidad del servicio al punto de volverlo inoperante. Esto es frecuentemente utilizado por ciberdelincuentes que apuntan a entidades con alta demanda, como empresas y organismos gubernamentales. Un caso ilustrativo fue el ataque a páginas web de la Registraduría y el Consejo Electoral de Colombia, donde se mezclaron peticiones legítimas con malformadas, causando la interrupción del servicio.

Componentes esenciales para identificar un ataque DoS

  • Monitoreo proactivo: Uso de aplicaciones que alerten acerca del incremento inusual de peticiones.
  • Variables clave: Observar aspectos como el tipo de paquete enviado, la existencia de demoras y la falta de uso de proxy.
  • Análisis de tráfico: Buscar incrementos exponenciales en las peticiones que podrían indicar un ataque.

¿Cuáles son los controles efectivos para mitigar estos riesgos?

Apliquemos controles para minimizar el riesgo asociado a componentes vulnerables. La implementación de auditorías y el uso de herramientas confiables puede ser de gran ayuda:

Detección de componentes vulnerables

Algunas herramientas, como Tenable Security Center, permiten monitorear los componentes de software en busca de vulnerabilidades y generan reportes que advierten sobre posibles problemas. Es crucial asegurarse de que todos los componentes utilizados estén actualizados y provengan de fuentes confiables.

Uso de dependencias confiables

Antes de integrar una librería o dependencia, verifica su origen y asegúrate de que esté respaldada por proveedores confiables. La firma digital de componentes puede ser un buen indicador de seguridad. Desarrolladores y organizaciones deben ser conscientes del riesgo que implica utilizar dependencias sin verificar, pues podrían contener malware.

Auditoría permanente del código fuente

Implementar análisis estático del código para detectar vulnerabilidades mientras se codifica. Herramientas como SonarCloud pueden alertar sobre problemas de seguridad en repositorios, lo que permite tomarlos a tiempo y aplicar actualizaciones necesarias para robustecer el sistema.

¿Cómo auditar y corregir vulnerabilidades en dependencias?

Un paso esencial es la revisión de archivos como package.json para identificar dependencias con posibles vulnerabilidades. Realizar auditorías regulares:

npm audit

Este comando detecta fallas y sugiere actualizaciones. Si se encuentra una vulnerabilidad, aplicar:

npm audit fix

Esta acción corrige la dependencia problemática. Siempre revisa el archivo PackageLock.json para confirmar que las actualizaciones se implementaron correctamente.

Para reforzar tu protección, utiliza GitHub Dependabot, una herramienta efectiva para detectar fallas y prever problemas futuros. Recuerda: la seguridad es un proceso continuo, y la práctica y revisión regular son esenciales para mantener aplicaciones seguras. ¡Sigue practicando y aprendiendo!

Aportes 9

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Fernando Alberto Velasquez Aguilera

Fernando Alberto Velasquez Aguilera

hace un año
El uso de componentes vulnerables y desactualizados puede tener varios impactos negativos, que incluyen, entre otros: * **Exposición a ataques**: Las vulnerabilidades en componentes no actualizados pueden ser explotadas por atacantes para obtener acceso no autorizado, ejecutar código arbitrario, acceder a datos sensibles, o realizar ataques de denegación de servicio (DoS). * **Incumplimiento de normativas**: La falta de cumplimiento con estándares de seguridad y regulaciones puede resultar en sanciones legales y dañar la reputación de la organización. * **Pérdida de datos**: La explotación de vulnerabilidades puede llevar a la pérdida o exposición de datos sensibles de la empresa o de los usuarios. ### Estrategias de Mitigación Para mitigar los riesgos asociados con los componentes vulnerables y desactualizados, las organizaciones pueden adoptar varias estrategias: * **Inventario de componentes**: Mantener un inventario actualizado de todos los componentes de terceros utilizados en las aplicaciones, incluyendo sus versiones. * **Monitoreo y evaluación de vulnerabilidades**: Utilizar herramientas de escaneo de vulnerabilidades y suscripciones a bases de datos de vulnerabilidades para recibir alertas sobre nuevas vulnerabilidades en los componentes utilizados. * **Gestión de parches y actualizaciones**: Establecer un proceso sistemático para la aplicación oportuna de parches y actualizaciones a los componentes vulnerables. * **Política de seguridad para el uso de componentes de terceros**: Desarrollar y aplicar una política que defina los criterios para la selección, uso y mantenimiento de componentes de terceros, incluyendo la evaluación de seguridad antes de su adopción. * **Pruebas de seguridad**: Realizar pruebas de seguridad regularmente, incluyendo pruebas de penetración, para identificar y mitigar vulnerabilidades en las aplicaciones.
Jesus Torres

Jesus Torres

hace un año
Lo que comentas esta perfecto en un mundo ideal, pero en la realidad la mayoría de los desarrolladores utilizan librerías públicas con licencia open source que encuentran en GitHub... Entiendo lo que intentas proponer aca pero hay que ser realistas con el mercado que existe, preferiría que dieras recomendaciones más realistas de como hacer monitoreo en este tipo de escenarios en lugar de decir solo "hey no usen librerías que no sean de empresas reconocidas" porque eso no va a pasar... la mayoría de las veces a menos que trabajes parar una empresa muy muy muy grande, vas a terminar utilizando una librería de GitHub Random o un código que alguien compartió en algún comentario de stack overflow / gist
c3tuxpo2018

c3tuxpo2018

hace 3 meses
La deuda técnica se refiere a las decisiones de diseño y desarrollo en software que se toman para cumplir plazos o reducir costos, pero que, a largo plazo, pueden complicar el mantenimiento y la escalabilidad del sistema. Es un concepto importante en el desarrollo ágil, donde se busca equilibrio entre velocidad y calidad. Es recomendable gestionar esta deuda a través de auditorías regulares y refactorizaciones, asegurando que el código se mantenga sólido y eficiente. Esto es relevante para las prácticas de seguridad y desarrollo de software que estudias en tus cursos.
c3tuxpo2018

c3tuxpo2018

hace 3 meses
npm audit es una herramienta que permite a los desarrolladores identificar vulnerabilidades en las dependencias de un proyecto Node.js. Al ejecutarla, se analizan las bibliotecas y componentes utilizados, generando un informe que destaca las vulnerabilidades conocidas, su gravedad y recomendaciones para corregirlas. Esto es crucial para mantener la seguridad de las aplicaciones, evitando riesgos que puedan comprometer la integridad y disponibilidad de los servicios. Así, ayuda a los equipos a realizar auditorías de seguridad de manera eficiente.
Emmanuel Guerra Sánchez

Emmanuel Guerra Sánchez

hace un año
Para los que como yo son desarrolladores mobile, [aquí](https://www.guardsquare.com/blog/hidden-mobile-app-security-risks-in-android-libraries-guardsquare) hay unas recomendaciones de GuardSquare para apps Android
Diego Fernando Ramos Aguirre

Diego Fernando Ramos Aguirre

hace 10 meses
## **Vulnerable and Outdated Components** Es cuando se utilizan componentes vulnerables o desactualizados. *Ejemplo* * Denial of service done o denegación de servicios *Impacto* * Es crítico cuando se trata de servicios públicos o de alta demanda *Controles* 1. Detección de componentes vulnerables 2. Utilizar dependencias de origen confiable 3. Auditoria permanente del código fuente
Carlos G

Carlos G

hace 2 meses
`npm audit` es una herramienta integrada en `npm` a partir de la versión 6, por lo que no necesitas instalarlo por separado.
c3tuxpo2018

c3tuxpo2018

hace 3 meses
SonarCloud es un servicio de análisis de código en la nube que permite a los desarrolladores gestionar la calidad del software y detectar vulnerabilidades en el código. Utiliza funcionalidades de SonarQube, proporcionando informes detallados sobre problemas de seguridad, bugs y deuda técnica en proyectos. Esto se alinea con la importancia de auditar el código fuente y detectar componentes vulnerables, como se menciona en el contexto de OWASP. Además, ayuda a mantener un desarrollo seguro y eficiente, apoyando las prácticas recomendadas en ciberseguridad para el desarrollo web.
Vidal C.

Vidal C.

hace un año
Para aquellos desarrolladores de Python. Les comparto este artículo de redhat en el que comparten una herramienta en python para encontrar vulnerabilidades en las dependencias y claro, cómo arreglarlas. \[How to find third-party vulnerabilities in your python code]\(https://www.redhat.com/sysadmin/find-python-vulnerabilities)