Seguridad de Aplicaciones con OBS Top 10 y Herramientas Prácticas

Clase 2 de 15 • Curso de OWASP Top 10: Riesgos en Aplicaciones

Contenido del curso

Introducción a OWASP Top 10

Cómo utilizar el Top 10 de riesgos en aplicaciones

Cómo implementar OWASP Top 10 en tu empresa

15
Gestión de Riesgos en Aplicaciones con OVAS y ISO 27001
01:35 min

Resumen

Proteger aplicaciones web no es opcional, y contar con un marco de referencia claro marca la diferencia entre un desarrollo vulnerable y uno robusto. OWASP Top Ten ofrece exactamente eso: una guía práctica que puede integrarse tanto en la construcción de software como en la formación de los equipos que lo desarrollan.

¿Cómo crear programas de aseguramiento con OWASP Top Ten?

La primera forma de aprovechar OWASP Top Ten es diseñando programas de aseguramiento de aplicaciones. Esto implica definir metas alcanzables dentro del ciclo de vida de desarrollo de software seguro (SDLC), de modo que los controles de seguridad se inyecten a medida que el producto se construye, no después [0:10].

El objetivo final es alcanzar un nivel de madurez de aseguramiento que garantice la solidez de la aplicación. Para lograrlo existe un proyecto llamado OWASAM (OWASP Software Assurance Maturity Model), que organiza los requerimientos de seguridad en funciones de negocio concretas [0:27]:

Gobierno.
Diseño.
Implementación.
Verificación.
Operaciones.

Esta estructura permite que cada área del proceso de desarrollo tenga responsabilidades claras en materia de seguridad.

¿Qué herramientas educativas ofrece OWASP para equipos de desarrollo?

La segunda manera de utilizar OWASP Top Ten es como base para educación continua y detallada dirigida a los equipos de desarrollo de software [0:42].

¿Qué es ASVS y por qué es relevante?

ASVS (Application Security Verification Standard) es un proyecto de OWASP que reúne un extenso listado de requerimientos de seguridad. Cada requerimiento está debidamente agrupado, codificado y vinculado a un código CWE (Common Weakness Enumeration), lo que facilita su trazabilidad y aplicación práctica [0:49].

¿Cómo funciona OWASP Juice Shop?

Para sensibilizar a los equipos en ciberseguridad de forma práctica, existe OWASP Juice Shop: una aplicación web intencionalmente vulnerable que propone una gran cantidad de retos con sistema de puntajes [1:02]. Entre las fallas que se pueden detectar se encuentran situaciones donde un servidor web expone información sensible, como repositorios de contraseñas o copias de seguridad comprometidas [1:15].

¿Qué herramientas se usan en laboratorios de seguridad de aplicaciones?

Para llevar la teoría a la práctica en entornos controlados, tres herramientas resultan fundamentales [1:24]:

Kali Linux: distribución basada en Debian que incluye una amplia colección de utilidades para penetration testing (comúnmente llamado pen testing).
Burp Suite: un proxy que permite capturar y analizar las peticiones HTTP realizadas por el usuario hacia la aplicación.
Docker: plataforma que permite empaquetar y desplegar aplicaciones web de manera rápida y sin complicaciones.

Estas tres herramientas combinadas ofrecen un entorno completo para identificar, reproducir y comprender los riesgos de seguridad más comunes en aplicaciones web.

Si ya trabajas con alguna de estas herramientas o has explorado los proyectos de OWASP, comparte tu experiencia y las lecciones que te han dejado.

Comentarios

Fernando Alberto Velasquez Aguilera

student•

La utilización del OWASP Top 10 como una herramienta para mejorar la seguridad de las aplicaciones web implica varias estrategias y prácticas. A continuación, se describe un enfoque estructurado sobre cómo las organizaciones y los desarrolladores pueden hacer uso del OWASP Top 10 para fortalecer la seguridad de sus aplicaciones:

1. Educación y Concienciación

Capacitación del equipo de desarrollo: Organizar sesiones de capacitación y talleres para los equipos de desarrollo y seguridad sobre las vulnerabilidades listadas en el OWASP Top 10, incluyendo sus implicaciones y cómo pueden ser explotadas.
Integración en el proceso de diseño: Incluir la seguridad como un componente fundamental en las fases iniciales del diseño de aplicaciones web, utilizando el OWASP Top 10 como una guía para discutir posibles riesgos de seguridad.

2. Integración en el Ciclo de Desarrollo del Software

Revisión de código: Implementar revisiones de código regulares que se centren específicamente en identificar patrones de código que puedan conducir a las vulnerabilidades listadas en el OWASP Top 10.
Pruebas de seguridad: Utilizar herramientas automatizadas de pruebas de seguridad (como escáneres de vulnerabilidades y herramientas de análisis de código estático) que puedan identificar problemas relacionados con el OWASP Top 10 en las aplicaciones.

3. Mejora Continua

Remediación de vulnerabilidades: Una vez identificadas las vulnerabilidades, es crucial priorizar y remediarlas de manera oportuna, basándose en el nivel de riesgo que cada una representa.
Actualización y mantenimiento: Mantenerse al día con las últimas versiones del OWASP Top 10 y actualizar las prácticas de seguridad de la organización en consecuencia.

4. Políticas de Seguridad y Cumplimiento

Desarrollo de políticas de seguridad: Desarrollar y mantener políticas de seguridad que incorporen los principios del OWASP Top 10, asegurando que todos los desarrollos cumplan con un estándar mínimo de seguridad.
Auditorías de seguridad: Realizar auditorías de seguridad periódicas para evaluar la conformidad con el OWASP Top 10 y otras normativas de seguridad relevantes.

5. Adopción de Herramientas y Prácticas Recomendadas

Utilizar marcos de trabajo y bibliotecas seguras: Optar por marcos de trabajo y bibliotecas que promuevan prácticas de desarrollo seguro y que estén activamente mantenidos.
Implementación de controles de seguridad: Aplicar controles de seguridad específicos recomendados por OWASP para mitigar las vulnerabilidades, como el uso de Content Security Policy (CSP) para prevenir XSS, o la implementación de controles de acceso adecuados para prevenir la exposición de datos sensibles.

Diego Fernando Ramos Aguirre

student•

Cómo utilizar OWASP Top 10

Maneras de uso de OWASP Top 10:

Para crear programas de aseguramiento de aplicaciones donde se debe incluir:
- Metas alcanzables
- Ciclo de vida de desarrollo de software seguro, donde se garantiza que a medida que se crea el producto se pueden implementar los controles de seguridad
- Nivel de madurez de aseguramiento de la aplicación donde es posible utilizar OWASP SAMM donde resume los requerimientos de seguridad en funciones de negocio.
Para crear eduación continua y detallada en los equipos de desarrollo de software donde podemos utilizar ASVS (Application Security Verification Standar) donde se reune un gran estandar de requerimientos de seguridad debidamente agrupados, codificados y con un codigo CWE asociado.
- Una herramienta utilizada para sensibilizar en ciberseguridad a los equipos de desarrollo de software es OWASP Juice Shop, la cual es una aplicación vulnerable que contiene gran cantidad de retos.

Herramientas para laboratorios:

Kali Linux: es una distribución basada en debian con utilidades para penetration testing o pentesting.
BurpSuite: es un proxy que permite capturar peticiones realizas por el usuario
Docker: una herramienta que permite empaquetar y desplegar aplicaciones web.

Enlaces de interes:

Javier Ramos

student•

Excelente resumen

Felipe Ordóñez

student•

no se menciona nada con respecto a la pregunta que hace en el examen ...?

Diego Ademir Duarte Santana

Team Platzi•

disculpa, no entiendo tu pregunta

Alan Antonio Rico Castillo

student•

Diego, a lo que felipe se refiere , es que en el examen existe la pregunta .

"un riesgo que tenga asociado un CVE que no hace parte de la NVD , podria ser tenido en cuenta en OWASP TOP 10 en la proxima version".

cuando fallas la pregunta , te envia a este video.

Pero al revisarlo no da esa informacion, ni en los recursos.

La respuesta es muy variable ya que si depende del nivel de criticidad, que tan "demandado o explotado esta" , si es una regresion ( que ya se habia arreglado pero en una nueva version quedo descubierto" , o el año de publicacion , el vector , etc.

William Schnaider Torres Bermon

student•

El OWASP Top 10 es una herramienta valiosa para cualquiera que esté estudiando seguridad y trabajando con OWASP. Aquí tienes algunas maneras de cómo podrías utilizar el OWASP Top 10 en tu curso:

### 1. **Comprender las Amenazas Principales** - **Estudio Detallado:** Cada uno de los diez riesgos principales viene con descripciones detalladas, ejemplos y métodos de mitigación. Esto puede ayudarte a comprender mejor las amenazas comunes y cómo abordarlas. - **Casos Prácticos:** Analiza casos reales de vulnerabilidades relacionadas con el OWASP Top 10 para ver cómo se han explotado y corregido.

### 2. **Desarrollo Seguro** - **Prácticas de Codificación:** Utiliza el OWASP Top 10 como guía para implementar prácticas de codificación segura y revisiones de código. - **Listas de Verificación:** Crea listas de verificación basadas en el OWASP Top 10 para revisar el código y asegurarte de que estás siguiendo las mejores prácticas.

### 3. **Evaluaciones de Seguridad** - **Pentesting:** Utiliza el OWASP Top 10 como marco de referencia para tus pruebas de penetración, asegurándote de que estás probando las vulnerabilidades más críticas. - **Auditorías de Seguridad:** Realiza auditorías de seguridad basadas en estos diez riesgos principales para evaluar y mejorar la seguridad de las aplicaciones.

### 4. **Educación y Concientización** - **Talleres y Seminarios:** Organiza talleres y seminarios sobre cada una de las vulnerabilidades del OWASP Top 10 para educar a tus compañeros y equipo. - **Material Didáctico:** Utiliza el OWASP Top 10 para desarrollar materiales educativos y presentaciones para tu curso. ### 5. **Mejora Continua** - **Evaluación de Aplicaciones:** Evalúa regularmente las aplicaciones en desarrollo o en producción contra el OWASP Top 10 para identificar y remediar vulnerabilidades. - **Actualización de Conocimientos:** Mantente actualizado con las versiones más recientes del OWASP Top 10, ya que se revisan y actualizan periódicamente para reflejar las amenazas emergentes.

### Recursos Adicionales - **OWASP Cheat Sheets:** OWASP ofrece una serie de hojas de trucos que proporcionan guías rápidas y prácticas sobre diversos temas de seguridad. - **OWASP Projects:** Explora otros proyectos de OWASP que pueden complementar tu conocimiento y habilidades en seguridad, como OWASP ASVS, OWASP ZAP, etc.

Pablo Miguel Sanchez

student•

1. Control de Acceso Defectuoso (Broken Access Control)

Esta vulnerabilidad, que ascendió al puesto número uno, ocurre cuando las restricciones sobre lo que un usuario autenticado puede hacer no se aplican correctamente. Esto permite a los atacantes acceder a funcionalidades o datos que no les corresponden, como ver la cuenta de otro usuario, cambiar datos ajenos o acceder a funciones de administrador.

Ejemplo: Cambiar un número de ID en la URL (.../ver_pedido?id=123 a .../ver_pedido?id=124) y poder ver el pedido de otro cliente.

2. Fallos Criptográficos (Cryptographic Failures)

Anteriormente conocida como "Exposición de Datos Sensibles", esta categoría se enfoca en las fallas relacionadas con la criptografía (o la falta de ella) que exponen información delicada. Esto incluye datos en tránsito y en reposo.

Ejemplo: Almacenar contraseñas en texto plano en una base de datos o transmitir datos de tarjetas de crédito sin usar encriptación TLS.

3. Inyección (Injection)

Aunque bajó de la primera posición, sigue siendo un riesgo crítico. Una falla de inyección ocurre cuando datos no confiables son enviados a un intérprete de código como parte de un comando o consulta. Esto engaña al intérprete para que ejecute comandos no intencionados.

Ejemplo: La inyección SQL, donde un atacante introduce comandos de base de datos en un formulario de login para saltarse la autenticación. Esta categoría ahora también incluye el Cross-Site Scripting (XSS).

4. Diseño Inseguro (Insecure Design)

Esta es una nueva categoría que se enfoca en los riesgos relacionados con fallos en el diseño y la arquitectura de la aplicación. Son problemas que no se pueden solucionar con una implementación perfecta, ya que el propio diseño es inherentemente débil.

Ejemplo: Un proceso de recuperación de contraseña que se basa en preguntas de seguridad fácilmente adivinables o públicamente conocidas.

5. Configuración de Seguridad Incorrecta (Security Misconfiguration)

Este riesgo se produce por no implementar todas las configuraciones de seguridad necesarias o por usar configuraciones por defecto que son inseguras.

Ejemplo: Dejar habilitada una cuenta de administrador con una contraseña por defecto, tener listados de directorios activos en el servidor o mostrar mensajes de error demasiado detallados que revelan información interna.

6. Componentes Vulnerables y Desactualizados (Vulnerable and Outdated Components)

Las aplicaciones casi siempre dependen de componentes de terceros (librerías, frameworks, etc.). Si uno de esos componentes tiene una vulnerabilidad conocida y la aplicación lo está utilizando, todo el sistema se vuelve vulnerable.

Ejemplo: Usar una versión de una librería de JavaScript con una vulnerabilidad de seguridad conocida y no actualizarla a una versión parcheada.

7. Fallos de Identificación y Autenticación (Identification and Authentication Failures)

Anteriormente llamada "Autenticación Rota", esta categoría incluye fallos que permiten a un atacante comprometer identidades, contraseñas o claves de sesión, o suplantar la identidad de otros usuarios.

Ejemplo: Permitir contraseñas débiles como "123456", no invalidar correctamente las sesiones al cerrar sesión, o no proteger contra ataques de fuerza bruta.

8. Fallos en la Integridad del Software y los Datos (Software and Data Integrity Failures)

Esta nueva categoría se centra en las fallas relacionadas con la integridad del software y los datos. Incluye vulnerabilidades donde se confía en actualizaciones de software, datos críticos o pipelines de CI/CD sin verificar su integridad.

Ejemplo: Una aplicación que descarga actualizaciones de un repositorio sin verificar la firma digital, lo que permitiría a un atacante distribuir una actualización maliciosa. Incluye la "Deserialización Insegura".

9. Fallos en el Registro y la Monitorización de la Seguridad (Security Logging and Monitoring Failures)

Sin un registro y monitoreo adecuados, es casi imposible detectar una brecha de seguridad a tiempo. Esta categoría cubre la falta de registro de eventos de seguridad importantes y la ausencia de alertas efectivas.

Ejemplo: Una aplicación que no registra los intentos de inicio de sesión fallidos, lo que hace imposible detectar un ataque de fuerza bruta en curso.

10. Falsificación de Solicitudes del Lado del Servidor (Server-Side Request Forgery - SSRF)

Esta vulnerabilidad ocurre cuando una aplicación web realiza solicitudes a una URL proporcionada por el usuario sin validar adecuadamente el destino. Esto permite a un atacante forzar a la aplicación a realizar peticiones a recursos internos o a servicios de terceros en nombre del servidor.

Ejemplo: Un atacante que hace que el servidor se conecte a un servicio interno de la red de la empresa que no debería ser accesible desde el exterior.

Javier Ramos

student•

Docker es una plataforma que permite a los desarrolladores crear, empaquetar y ejecutar aplicaciones en contenedores. Estos contenedores son entornos ligeros y portátiles que incluyen todo lo necesario para ejecutar una aplicación, lo que facilita la consistencia entre desarrollos y producciones. Al usar Docker, los equipos pueden mejorar la eficiencia, la escalabilidad y la seguridad de sus aplicaciones, lo que es esencial en el contexto de ciberseguridad y desarrollo seguro, como se menciona en el curso de OWASP Top 10.

Javier Ramos

student•

Respuesta generada por la IA de PLatzi a la pregunta que es Docker

Guillermo Escalona Olivares

student•

Seguridad de Aplicaciones con OBS Top 10 y Herramientas Prácticas

Introducción a OWASP Top 10

OWASP Top 10: Mejores Prácticas de Seguridad en Aplicaciones Web