Seguridad de Aplicaciones con OBS Top 10 y Herramientas Prácticas

Curso de OWASP Top 10: Riesgos en Aplicaciones

Contenido del curso

Introducción a OWASP Top 10

Cómo utilizar el Top 10 de riesgos en aplicaciones

Cómo implementar OWASP Top 10 en tu empresa

15
Gestión de Riesgos en Aplicaciones con OVAS y ISO 27001
01:34 min

Tomar examen

Seguridad de Aplicaciones con OBS Top 10 y Herramientas Prácticas

Resumen

Proteger aplicaciones web no es opcional, y contar con un marco de referencia claro marca la diferencia entre un desarrollo vulnerable y uno robusto. OWASP Top Ten ofrece exactamente eso: una guía práctica que puede integrarse tanto en la construcción de software como en la formación de los equipos que lo desarrollan.

¿Cómo crear programas de aseguramiento con OWASP Top Ten?

La primera forma de aprovechar OWASP Top Ten es diseñando programas de aseguramiento de aplicaciones. Esto implica definir metas alcanzables dentro del ciclo de vida de desarrollo de software seguro (SDLC), de modo que los controles de seguridad se inyecten a medida que el producto se construye, no después [0:10].

El objetivo final es alcanzar un nivel de madurez de aseguramiento que garantice la solidez de la aplicación. Para lograrlo existe un proyecto llamado OWASAM (OWASP Software Assurance Maturity Model), que organiza los requerimientos de seguridad en funciones de negocio concretas [0:27]:

Gobierno.
Diseño.
Implementación.
Verificación.
Operaciones.

Esta estructura permite que cada área del proceso de desarrollo tenga responsabilidades claras en materia de seguridad.

¿Qué herramientas educativas ofrece OWASP para equipos de desarrollo?

La segunda manera de utilizar OWASP Top Ten es como base para educación continua y detallada dirigida a los equipos de desarrollo de software [0:42].

¿Qué es ASVS y por qué es relevante?

ASVS (Application Security Verification Standard) es un proyecto de OWASP que reúne un extenso listado de requerimientos de seguridad. Cada requerimiento está debidamente agrupado, codificado y vinculado a un código CWE (Common Weakness Enumeration), lo que facilita su trazabilidad y aplicación práctica [0:49].

¿Cómo funciona OWASP Juice Shop?

Para sensibilizar a los equipos en ciberseguridad de forma práctica, existe OWASP Juice Shop: una aplicación web intencionalmente vulnerable que propone una gran cantidad de retos con sistema de puntajes [1:02]. Entre las fallas que se pueden detectar se encuentran situaciones donde un servidor web expone información sensible, como repositorios de contraseñas o copias de seguridad comprometidas [1:15].

¿Qué herramientas se usan en laboratorios de seguridad de aplicaciones?

Para llevar la teoría a la práctica en entornos controlados, tres herramientas resultan fundamentales [1:24]:

Kali Linux: distribución basada en Debian que incluye una amplia colección de utilidades para penetration testing (comúnmente llamado pen testing).
Burp Suite: un proxy que permite capturar y analizar las peticiones HTTP realizadas por el usuario hacia la aplicación.
Docker: plataforma que permite empaquetar y desplegar aplicaciones web de manera rápida y sin complicaciones.

Estas tres herramientas combinadas ofrecen un entorno completo para identificar, reproducir y comprender los riesgos de seguridad más comunes en aplicaciones web.

Si ya trabajas con alguna de estas herramientas o has explorado los proyectos de OWASP, comparte tu experiencia y las lecciones que te han dejado.

Pablo Miguel Sanchez

Estudiante

1. Control de Acceso Defectuoso (Broken Access Control)

Esta vulnerabilidad, que ascendió al puesto número uno, ocurre cuando las restricciones sobre lo que un usuario autenticado puede hacer no se aplican correctamente. Esto permite a los atacantes acceder a funcionalidades o datos que no les corresponden, como ver la cuenta de otro usuario, cambiar datos ajenos o acceder a funciones de administrador.

Ejemplo: Cambiar un número de ID en la URL (.../ver_pedido?id=123 a .../ver_pedido?id=124) y poder ver el pedido de otro cliente.

2. Fallos Criptográficos (Cryptographic Failures)

Anteriormente conocida como "Exposición de Datos Sensibles", esta categoría se enfoca en las fallas relacionadas con la criptografía (o la falta de ella) que exponen información delicada. Esto incluye datos en tránsito y en reposo.

Ejemplo: Almacenar contraseñas en texto plano en una base de datos o transmitir datos de tarjetas de crédito sin usar encriptación TLS.

3. Inyección (Injection)

Aunque bajó de la primera posición, sigue siendo un riesgo crítico. Una falla de inyección ocurre cuando datos no confiables son enviados a un intérprete de código como parte de un comando o consulta. Esto engaña al intérprete para que ejecute comandos no intencionados.

Ejemplo: La inyección SQL, donde un atacante introduce comandos de base de datos en un formulario de login para saltarse la autenticación. Esta categoría ahora también incluye el Cross-Site Scripting (XSS).

4. Diseño Inseguro (Insecure Design)

Esta es una nueva categoría que se enfoca en los riesgos relacionados con fallos en el diseño y la arquitectura de la aplicación. Son problemas que no se pueden solucionar con una implementación perfecta, ya que el propio diseño es inherentemente débil.

Ejemplo: Un proceso de recuperación de contraseña que se basa en preguntas de seguridad fácilmente adivinables o públicamente conocidas.

5. Configuración de Seguridad Incorrecta (Security Misconfiguration)

Este riesgo se produce por no implementar todas las configuraciones de seguridad necesarias o por usar configuraciones por defecto que son inseguras.

Ejemplo: Dejar habilitada una cuenta de administrador con una contraseña por defecto, tener listados de directorios activos en el servidor o mostrar mensajes de error demasiado detallados que revelan información interna.

6. Componentes Vulnerables y Desactualizados (Vulnerable and Outdated Components)

Las aplicaciones casi siempre dependen de componentes de terceros (librerías, frameworks, etc.). Si uno de esos componentes tiene una vulnerabilidad conocida y la aplicación lo está utilizando, todo el sistema se vuelve vulnerable.

Ejemplo: Usar una versión de una librería de JavaScript con una vulnerabilidad de seguridad conocida y no actualizarla a una versión parcheada.

7. Fallos de Identificación y Autenticación (Identification and Authentication Failures)

Anteriormente llamada "Autenticación Rota", esta categoría incluye fallos que permiten a un atacante comprometer identidades, contraseñas o claves de sesión, o suplantar la identidad de otros usuarios.

Ejemplo: Permitir contraseñas débiles como "123456", no invalidar correctamente las sesiones al cerrar sesión, o no proteger contra ataques de fuerza bruta.

8. Fallos en la Integridad del Software y los Datos (Software and Data Integrity Failures)

Esta nueva categoría se centra en las fallas relacionadas con la integridad del software y los datos. Incluye vulnerabilidades donde se confía en actualizaciones de software, datos críticos o pipelines de CI/CD sin verificar su integridad.

Ejemplo: Una aplicación que descarga actualizaciones de un repositorio sin verificar la firma digital, lo que permitiría a un atacante distribuir una actualización maliciosa. Incluye la "Deserialización Insegura".

9. Fallos en el Registro y la Monitorización de la Seguridad (Security Logging and Monitoring Failures)

Sin un registro y monitoreo adecuados, es casi imposible detectar una brecha de seguridad a tiempo. Esta categoría cubre la falta de registro de eventos de seguridad importantes y la ausencia de alertas efectivas.

Ejemplo: Una aplicación que no registra los intentos de inicio de sesión fallidos, lo que hace imposible detectar un ataque de fuerza bruta en curso.

10. Falsificación de Solicitudes del Lado del Servidor (Server-Side Request Forgery - SSRF)

Esta vulnerabilidad ocurre cuando una aplicación web realiza solicitudes a una URL proporcionada por el usuario sin validar adecuadamente el destino. Esto permite a un atacante forzar a la aplicación a realizar peticiones a recursos internos o a servicios de terceros en nombre del servidor.

Ejemplo: Un atacante que hace que el servidor se conecte a un servicio interno de la red de la empresa que no debería ser accesible desde el exterior.

Seguridad de Aplicaciones con OBS Top 10 y Herramientas Prácticas

Introducción a OWASP Top 10

OWASP Top 10: Mejores Prácticas de Seguridad en Aplicaciones Web