SlideShare a Scribd company logo

10 Principales Controles Proactivos de OWASP

Download as PPTX, PDF
Henry Raúl González Brito
Henry Raúl González Brito

10 Principales Controles Proactivos de OWASP, The goal of the OWASP Top 10 Proactive Controls project (OPC) is to raise awareness about application security by describing the most important areas of concern that software developers must be aware of. We encourage you to use the OWASP Proactive Controls to get your developers started with application security. Developers can learn from the mistakes of other organizations. We hope that the OWASP Proactive Controls is useful to your efforts in building secure software.

Software
1 of 41
root@b3h1qu3:~# CONTROLES PROACTIVOS DE OWASP ■ M e t o d ó l o g o y J e f e d e P r o y e c t o s d e H a c k i n g É t i c o | D i r e c c i ó n d e S e g u r i d a d I n f o r m á t i c a | V i c e r r e c t o r í a d e T e c n o l o g í a | U n i v e r s i d a d d e l a s C i e n c i a s I n f o r m á t i c a s | B l o g > B e h i q u e D i g i t a l Msc. Henry Raúl González Brito
-C1- VERIFICA LA SEGURIDAD ANTES Y DESPUÉS
VERIFICA LA SEGURIDAD ANTES Y DESPUÉS • Ten en cuenta la seguridad desde etapas tempranas de concepción del proyecto. • No existe una tecnología que sea inmune a las vulnerabilidades. Desde el comienzo debes tener en cuenta que tu aplicación deberá permitir que le sea que actualizada la base tecnológica. • Selecciona una base tecnológica de fabricantes que suministran soporte.
-C2- PARAMETRIZA LAS CONSULTAS
PARAMETRIZA LAS CONSULTAS • Los ataques de inyección de código SQL son unos de los más importantes problemas de seguridad a nivel mundial. • La inserción de un simple código SQL puede permitir que la base de datos entera sea robada, eliminada o modificada. • Si tenemos en cuenta que normalmente las bases de datos de varias aplicaciones web son gestionadas por el mismo SGBD. Puede afirmarse que un ataque contra una aplicación puede afectar al resto de las aplicaciones que consuman servicios del SGBD común.
-C3- CODIFICA LOS DATOS
CODIFICA LOS DATOS • Convertir caracteres especiales de una forma que evite la ejecución de código ofuscado en el cliente. • Debe aplicarse en el momento en que se adicionen los datos al documento HTML.
-C4- VALIDA TODAS LAS ENTRADAS
VALIDA TODAS LAS ENTRADAS • Todos los datos provenientes del clientes deben ser tratados como no confiables y deben ser analizados antes de ejecutar cualquier operación con ellos. • La validación debe ser sintáctica y semántica. • La validación final siempre tiene que ejecutarse en el servidor de aplicaciones.
VALIDA TODAS LAS ENTRADAS • Campos de formularios. • Encabezados HTTP • Cookies. • Parámetros GET y POST (incluyendo campos ocultos) • Archivos. • Servicios (Web service, XML-RPC, etc.) • ¿Otros métodos HTTP?
VALIDA TODAS LAS ENTRADAS • Utiliza listas negras de contenido malicioso. • Utiliza listas blancas de contenido “confiable”. • Recuerda que la validación no hace necesariamente las entradas más seguras. • La seguridad de la aplicación tiene que reforzarse donde las entradas son empleadas.
-C5- IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN • Implementa un mecanismo racional ante ataques de fuerza bruta. • Implementa un mecanismo seguro de recuperación de contraseñas. • Evita que las contraseñas sean recordadas y cacheadas.
IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN • ¿Cómo se generan, activan, expiran y transmiten los ID de sesión? (Ataques: Fijación de sesiones, secuestro de sesiones, predicción de ID de sesiones, etc.) • Repetir el proceso de autenticación ante operaciones sensibles como la confirmación de una compra o el cambio de contraseña.
• Envía siempre las credenciales a través de canales seguros. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
• Evita usar credenciales por defecto y la predicción de las existentes. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
• Evita la enumeración de credenciales de usuarios. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
• Evita el envío constante de credenciales primarias de usuarios. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
• ¿Cómo expiran las cookies de sesión? IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
-C6- IMPLEMENTA CONTROLES DE ACCESO
IMPLEMENTA CONTROLES DE ACCESO • No confundir la autorización con la autenticación. • Los controles de acceso son simples: Solo tienen que decir si el usuario tiene o no acceso a un determinado recurso.
• Obliga todas las peticiones a pasar por un mecanismo único de autorización. • Deniega el acceso a los recursos por defecto. • Aplica el principio de menor privilegio. • Evita mezclar él código de la lógica de procesos con el código de la lógica de autorización: This makes auditing or proving the security of that software very difficult and time consuming. IMPLEMENTA CONTROLES DE ACCESO
• Realiza chequeos de autorización dato/usuario en lugar de dato/rol. IMPLEMENTA CONTROLES DE ACCESO
• Los datos necesarios para la autorización deben provenir del servidor y no del cliente. IMPLEMENTA CONTROLES DE ACCESO
-C7- PROTEGE LOS DATOS
PROTEGE LOS DATOS • Determina cuales son los datos sensibles y encríptalos (Ej. Contraseñas almacenadas en la BD) • Encripta los datos transmitidos usando mecanismo como TLS (HTTPS). • Trata de que los datos no sean expuestos accidentalmente. • Evita la captura de información mediante técnicas de enumeración. • Si vas a crear un método de encriptación propio, más vale que sepas lo que haces.
-C8- IMPLEMENTA MECANISMOS DE REGISTROS DE EVENTOS Y DETECCIÓN DE INTRUSOS
IMPLEMENTA MECANISMOS DE REGISTROS DE EVENTOS Y DETECCIÓN DE INTRUSOS • Monitoreo de la aplicación • Estadísticas de procesos. • Auditoría informática. • Detección de Intrusos (IDS) • Actividades forenses.
• Debe colectarse la información necesaria, ni mucha ni poca. • Registrar los ¿Quién, Qué, Cuando, Cómo? • No registrar datos confidenciales (Desde contraseñas de usuarios hasta información secreta) • Estar al tanto de las alertas y registros de actividades. • Implementar firewall de aplicaciones. IMPLEMENTA MECANISMOS DE REGISTROS DE EVENTOS Y DETECCIÓN DE INTRUSOS
-C9- FORTALECE Y APÓYATE EN LA SEGURIDAD DE LA TECNOLOGÍA BASE
FORTALECE Y APÓYATE EN LA SEGURIDAD DE LA TECNOLOGÍA BASE • Casi siempre la tecnología base viene con un conjunto de prácticas de seguridad implementadas. • Los fabricantes mantienen un control sobre las vulnerabilidades descubiertas y liberan nuevas versiones para corregir estas. • La tecnología base viene con una arquitectura de seguridad predefinida que es preferible comprender y usar antes de forzarla a utilizar métodos personalizados.
FORTALECE Y APÓYATE EN LA SEGURIDAD DE LA TECNOLOGÍA BASE • Infórmate periódicamente sobre las vulnerabilidades y actualizaciones disponibles para aplicar los parches necesarios. • Planificar la actualización de la base tecnológica según los plazos de soporte de los fabricantes. • Desarrollar teniendo en cuenta que tienes que actualizar la tecnología base y sigue las pautas de los fabricantes. • Asume el cambio como algo permanente.
-C10- GESTIONA CORRECTAMENTE LOS ERRORES
GESTIONA CORRECTAMENTE LOS ERRORES • Los errores exponen estructuras internas de las aplicaciones web, permitiendo adquirir un mejor conocimiento de esta en función de diversificar las opciones de ataques disponibles. • Los mensajes de error específicos pueden ayudar a un atacante a tomar decisiones durante la intrusión. • Los errores pueden colocar el sistema en un estado inestable.
Existe el usuario pero la Contraseña no es incorrecta El usuario no existe • Los mensajes de errores deben contener informaciones generales pero deben permitir que el usuario pueda guiarse. GESTIONA CORRECTAMENTE LOS ERRORES
• Gestiona los errores de forma centralizada y evitando bloques duplicados try/catch. • Registra los errores producidos en el log de la aplicación web. GESTIONA CORRECTAMENTE LOS ERRORES
GESTIONA CORRECTAMENTE LOS ERRORES • Registra los errores producidos en el log de la aplicación web.
root@b3h1qu3:~# CONCLUSIONES ■
CIBERDELINCUENTES USUARIOS Aplicación informática
CONCLUSIONES • La seguridad informática es un proceso. • Hay que estar actualizado sobre los incidentes y nuevas vulnerabilidades descubiertas. • Profundiza en las buenas prácticas, componentes y soluciones para reforzar y mantener actualizada la seguridad de tus aplicaciones.
root@b3h1qu3:~# CONTROLES PROACTIVOS DE OWASP ■ M e t o d ó l o g o y J e f e d e P r o y e c t o s d e H a c k i n g É t i c o | D i r e c c i ó n d e S e g u r i d a d I n f o r m á t i c a | V i c e r r e c t o r í a d e T e c n o l o g í a | U n i v e r s i d a d d e l a s C i e n c i a s I n f o r m á t i c a s | B l o g > B e h i q u e D i g i t a l Msc. Henry Raúl González Brito

Recommended

Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del SoftwareJuan Pablo Bustos Thames
 
Gestion de la configuracion del software
Gestion de la configuracion del softwareGestion de la configuracion del software
Gestion de la configuracion del softwareGiovani Ramirez
 
Requerimientos del software
Requerimientos del software Requerimientos del software
Requerimientos del software Rosa Virginia Ortega Loaiza
 
25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de SoftwareCamila Arbelaez
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Analisis y determinacion de requerimientos
Analisis y determinacion de requerimientosAnalisis y determinacion de requerimientos
Analisis y determinacion de requerimientosYesith Valencia
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionJose Diaz Silva
 
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)Mónica María Espejo Pérez
 

Recommended

Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del SoftwareJuan Pablo Bustos Thames
 
Gestion de la configuracion del software
Gestion de la configuracion del softwareGestion de la configuracion del software
Gestion de la configuracion del softwareGiovani Ramirez
 
Requerimientos del software
Requerimientos del software Requerimientos del software
Requerimientos del software Rosa Virginia Ortega Loaiza
 
25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de SoftwareCamila Arbelaez
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Analisis y determinacion de requerimientos
Analisis y determinacion de requerimientosAnalisis y determinacion de requerimientos
Analisis y determinacion de requerimientosYesith Valencia
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionJose Diaz Silva
 
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)Mónica María Espejo Pérez
 
Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...
Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...
Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...eccutpl
 
Tema N° 11 Lenguaje de Representación (UML y URN)
Tema N° 11 Lenguaje de Representación (UML y URN)Tema N° 11 Lenguaje de Representación (UML y URN)
Tema N° 11 Lenguaje de Representación (UML y URN)SaraEAlcntaraR
 
Documentos de analisis de requerimientos
Documentos de analisis de requerimientosDocumentos de analisis de requerimientos
Documentos de analisis de requerimientosMilton Garzon
 
Sesion5 requerimientos de software
Sesion5 requerimientos de softwareSesion5 requerimientos de software
Sesion5 requerimientos de softwareOscar López
 
Estimación de Proyectos de Software
Estimación de Proyectos de SoftwareEstimación de Proyectos de Software
Estimación de Proyectos de SoftwareAndrés Felipe Montoya Ríos
 
Requerimiento funcional y no funcional
Requerimiento funcional y no funcional Requerimiento funcional y no funcional
Requerimiento funcional y no funcional CristobalFicaV
 
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMAS
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMASIMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMAS
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMASAlcoverify
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicoslandeta_p
 
MODELO COCOMO (INGENIERA DE SOFTWARE)
MODELO COCOMO (INGENIERA DE SOFTWARE)MODELO COCOMO (INGENIERA DE SOFTWARE)
MODELO COCOMO (INGENIERA DE SOFTWARE)Yadith Miranda Silva
 
Planeacion y elaboración de proyectos de software
Planeacion y elaboración de proyectos de softwarePlaneacion y elaboración de proyectos de software
Planeacion y elaboración de proyectos de softwareTtomas Carvajal
 
Requerimientos funcionales y no funcionales
Requerimientos funcionales y no funcionalesRequerimientos funcionales y no funcionales
Requerimientos funcionales y no funcionalesLismirabal
 
1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESO1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESOmataditoxd
 
Fundamentos y metodos de analisis de requerimientos
Fundamentos y metodos de analisis de requerimientosFundamentos y metodos de analisis de requerimientos
Fundamentos y metodos de analisis de requerimientoslexiherrera
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Softwarealbert317
 
Procesos de software Unidad 2 - Software Enginnering - Ian sommerville
Procesos de software Unidad 2 - Software Enginnering - Ian sommervilleProcesos de software Unidad 2 - Software Enginnering - Ian sommerville
Procesos de software Unidad 2 - Software Enginnering - Ian sommervilleMatias Gonzalo Acosta
 
Unidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosUnidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosSergio Sanchez
 
modelos del proceso del software
modelos del proceso del software modelos del proceso del software
modelos del proceso del software Brihany Rossell
 
Proceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwareProceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwaresergio
 
1.2.Funciones y Caracteristicas de los Sistemas Operativos
1.2.Funciones y Caracteristicas de los Sistemas Operativos1.2.Funciones y Caracteristicas de los Sistemas Operativos
1.2.Funciones y Caracteristicas de los Sistemas OperativosDianaledezma94
 
Mapa conceptual Ingeniería de Requisitos
Mapa conceptual Ingeniería de RequisitosMapa conceptual Ingeniería de Requisitos
Mapa conceptual Ingeniería de Requisitosinmacu_
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 

More Related Content

What's hot

Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...
Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...
Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...eccutpl
 
Tema N° 11 Lenguaje de Representación (UML y URN)
Tema N° 11 Lenguaje de Representación (UML y URN)Tema N° 11 Lenguaje de Representación (UML y URN)
Tema N° 11 Lenguaje de Representación (UML y URN)SaraEAlcntaraR
 
Documentos de analisis de requerimientos
Documentos de analisis de requerimientosDocumentos de analisis de requerimientos
Documentos de analisis de requerimientosMilton Garzon
 
Sesion5 requerimientos de software
Sesion5 requerimientos de softwareSesion5 requerimientos de software
Sesion5 requerimientos de softwareOscar López
 
Requerimiento funcional y no funcional
Requerimiento funcional y no funcional Requerimiento funcional y no funcional
Requerimiento funcional y no funcional CristobalFicaV
 
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMAS
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMASIMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMAS
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMASAlcoverify
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicoslandeta_p
 
MODELO COCOMO (INGENIERA DE SOFTWARE)
MODELO COCOMO (INGENIERA DE SOFTWARE)MODELO COCOMO (INGENIERA DE SOFTWARE)
MODELO COCOMO (INGENIERA DE SOFTWARE)Yadith Miranda Silva
 
Planeacion y elaboración de proyectos de software
Planeacion y elaboración de proyectos de softwarePlaneacion y elaboración de proyectos de software
Planeacion y elaboración de proyectos de softwareTtomas Carvajal
 
Requerimientos funcionales y no funcionales
Requerimientos funcionales y no funcionalesRequerimientos funcionales y no funcionales
Requerimientos funcionales y no funcionalesLismirabal
 
1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESO1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESOmataditoxd
 
Fundamentos y metodos de analisis de requerimientos
Fundamentos y metodos de analisis de requerimientosFundamentos y metodos de analisis de requerimientos
Fundamentos y metodos de analisis de requerimientoslexiherrera
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Softwarealbert317
 
Procesos de software Unidad 2 - Software Enginnering - Ian sommerville
Procesos de software Unidad 2 - Software Enginnering - Ian sommervilleProcesos de software Unidad 2 - Software Enginnering - Ian sommerville
Procesos de software Unidad 2 - Software Enginnering - Ian sommervilleMatias Gonzalo Acosta
 
Unidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosUnidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosSergio Sanchez
 
modelos del proceso del software
modelos del proceso del software modelos del proceso del software
modelos del proceso del software Brihany Rossell
 
Proceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwareProceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwaresergio
 
1.2.Funciones y Caracteristicas de los Sistemas Operativos
1.2.Funciones y Caracteristicas de los Sistemas Operativos1.2.Funciones y Caracteristicas de los Sistemas Operativos
1.2.Funciones y Caracteristicas de los Sistemas OperativosDianaledezma94
 
Mapa conceptual Ingeniería de Requisitos
Mapa conceptual Ingeniería de RequisitosMapa conceptual Ingeniería de Requisitos
Mapa conceptual Ingeniería de Requisitosinmacu_
 

What's hot (20)

Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...
Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...
Identificación y seguimiento de artefactos en el proceso de desarrollo de sof...
 
Tema N° 11 Lenguaje de Representación (UML y URN)
Tema N° 11 Lenguaje de Representación (UML y URN)Tema N° 11 Lenguaje de Representación (UML y URN)
Tema N° 11 Lenguaje de Representación (UML y URN)
 
Documentos de analisis de requerimientos
Documentos de analisis de requerimientosDocumentos de analisis de requerimientos
Documentos de analisis de requerimientos
 
Sesion5 requerimientos de software
Sesion5 requerimientos de softwareSesion5 requerimientos de software
Sesion5 requerimientos de software
 
Estimación de Proyectos de Software
Estimación de Proyectos de SoftwareEstimación de Proyectos de Software
Estimación de Proyectos de Software
 
Requerimiento funcional y no funcional
Requerimiento funcional y no funcional Requerimiento funcional y no funcional
Requerimiento funcional y no funcional
 
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMAS
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMASIMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMAS
IMPORTANCIA DEL ANÁLISIS DE REQUERIMIENTOS PARA EL DESARROLLO DE SISTEMAS
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicos
 
MODELO COCOMO (INGENIERA DE SOFTWARE)
MODELO COCOMO (INGENIERA DE SOFTWARE)MODELO COCOMO (INGENIERA DE SOFTWARE)
MODELO COCOMO (INGENIERA DE SOFTWARE)
 
Planeacion y elaboración de proyectos de software
Planeacion y elaboración de proyectos de softwarePlaneacion y elaboración de proyectos de software
Planeacion y elaboración de proyectos de software
 
Requerimientos funcionales y no funcionales
Requerimientos funcionales y no funcionalesRequerimientos funcionales y no funcionales
Requerimientos funcionales y no funcionales
 
1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESO1.1 REQUERIMIENTOS DE PROCESO
1.1 REQUERIMIENTOS DE PROCESO
 
Fundamentos y metodos de analisis de requerimientos
Fundamentos y metodos de analisis de requerimientosFundamentos y metodos de analisis de requerimientos
Fundamentos y metodos de analisis de requerimientos
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Software
 
Procesos de software Unidad 2 - Software Enginnering - Ian sommerville
Procesos de software Unidad 2 - Software Enginnering - Ian sommervilleProcesos de software Unidad 2 - Software Enginnering - Ian sommerville
Procesos de software Unidad 2 - Software Enginnering - Ian sommerville
 
Unidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosUnidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De Requerimientos
 
modelos del proceso del software
modelos del proceso del software modelos del proceso del software
modelos del proceso del software
 
Proceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de softwareProceso, modelos y metodos de ingenieria de software
Proceso, modelos y metodos de ingenieria de software
 
1.2.Funciones y Caracteristicas de los Sistemas Operativos
1.2.Funciones y Caracteristicas de los Sistemas Operativos1.2.Funciones y Caracteristicas de los Sistemas Operativos
1.2.Funciones y Caracteristicas de los Sistemas Operativos
 
Mapa conceptual Ingeniería de Requisitos
Mapa conceptual Ingeniería de RequisitosMapa conceptual Ingeniería de Requisitos
Mapa conceptual Ingeniería de Requisitos
 

Similar to 10 Principales Controles Proactivos de OWASP

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxGerenciaEfran
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidadKaria
 
Sesion cinco
Sesion cincoSesion cinco
Sesion cincoblanka
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionjhonsu1989
 
OWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsOWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsHdiv Security
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasJoha2210
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasxavisinho
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasJdm87
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceFabián Descalzo
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 

Similar to 10 Principales Controles Proactivos de OWASP (20)

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de Seguridad
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptx
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidad
 
Sesion cinco
Sesion cincoSesion cinco
Sesion cinco
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
OWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic FlawsOWASP Spain: Protection and Verification of Business Logic Flaws
OWASP Spain: Protection and Verification of Business Logic Flaws
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y compliance
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 

More from Henry Raúl González Brito

Estudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererEstudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererHenry Raúl González Brito
 
OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...
OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...
OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...Henry Raúl González Brito
 
EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...
EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...
EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...Henry Raúl González Brito
 
ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...
ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...
ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...Henry Raúl González Brito
 
Noções Básicas do Software dos Computadores Digitais
Noções Básicas do Software dos Computadores DigitaisNoções Básicas do Software dos Computadores Digitais
Noções Básicas do Software dos Computadores DigitaisHenry Raúl González Brito
 
CONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAIS
CONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAISCONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAIS
CONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAISHenry Raúl González Brito
 

More from Henry Raúl González Brito (20)

Estudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererEstudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado referer
 
Information Gathering | OWASP
Information Gathering | OWASPInformation Gathering | OWASP
Information Gathering | OWASP
 
OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...
OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...
OPERADORES A NIVEL DE BITS EN APLICACIONES WEB Y SU UTILIZACIÓN EN LA DOMÓTIC...
 
EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...
EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...
EXTENSIÓN DEL ERP CEDRUX CON EL MARCO DE TRABAJO SAUXE. CASO DE ESTUDIO: SUBS...
 
ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...
ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...
ESTUDIO DEL COMPORTAMIENTO DEL FENÓMENO SCOPE CREEP EN UN CENTRO DE DESARROLL...
 
Aula 5 | LABORATORIO 1. Solução
Aula 5 | LABORATORIO 1. SoluçãoAula 5 | LABORATORIO 1. Solução
Aula 5 | LABORATORIO 1. Solução
 
Aula 5 | LABORATORIO 1
Aula 5 | LABORATORIO 1Aula 5 | LABORATORIO 1
Aula 5 | LABORATORIO 1
 
Aula 3 | Registros e Funções
Aula 3 | Registros e FunçõesAula 3 | Registros e Funções
Aula 3 | Registros e Funções
 
Aula 4 | Funções
Aula 4 | Funções Aula 4 | Funções
Aula 4 | Funções
 
Aula 2 | Vetores
Aula 2 | VetoresAula 2 | Vetores
Aula 2 | Vetores
 
Aula 1 | Introdução a C++
Aula 1 | Introdução a C++Aula 1 | Introdução a C++
Aula 1 | Introdução a C++
 
Tema 4 | Sessão
Tema 4 | SessãoTema 4 | Sessão
Tema 4 | Sessão
 
Tema 3 | Formulários
Tema 3 | FormuláriosTema 3 | Formulários
Tema 3 | Formulários
 
Tema 2 | Linguagem PHP Básico (II)
Tema 2 | Linguagem PHP Básico (II)Tema 2 | Linguagem PHP Básico (II)
Tema 2 | Linguagem PHP Básico (II)
 
Tema 2 | Linguagem PHP Básico (I)
Tema 2 | Linguagem PHP Básico (I)Tema 2 | Linguagem PHP Básico (I)
Tema 2 | Linguagem PHP Básico (I)
 
Tema 1 | Introdução a PHP
Tema 1 | Introdução a PHPTema 1 | Introdução a PHP
Tema 1 | Introdução a PHP
 
Noções Básicas do Software dos Computadores Digitais
Noções Básicas do Software dos Computadores DigitaisNoções Básicas do Software dos Computadores Digitais
Noções Básicas do Software dos Computadores Digitais
 
A FUNÇÃO SOCIAL DO ENGENHEIRO
A FUNÇÃO SOCIAL DO ENGENHEIROA FUNÇÃO SOCIAL DO ENGENHEIRO
A FUNÇÃO SOCIAL DO ENGENHEIRO
 
CONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAIS
CONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAISCONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAIS
CONSTITUÇÃO BÁSICA DO HARDWARE DOS COMPUTADORES DIGITAIS
 
História da engenharia
História da engenhariaHistória da engenharia
História da engenharia
 

10 Principales Controles Proactivos de OWASP

  • 1. root@b3h1qu3:~# CONTROLES PROACTIVOS DE OWASP ■ M e t o d ó l o g o y J e f e d e P r o y e c t o s d e H a c k i n g É t i c o | D i r e c c i ó n d e S e g u r i d a d I n f o r m á t i c a | V i c e r r e c t o r í a d e T e c n o l o g í a | U n i v e r s i d a d d e l a s C i e n c i a s I n f o r m á t i c a s | B l o g > B e h i q u e D i g i t a l Msc. Henry Raúl González Brito
  • 2. -C1- VERIFICA LA SEGURIDAD ANTES Y DESPUÉS
  • 3. VERIFICA LA SEGURIDAD ANTES Y DESPUÉS • Ten en cuenta la seguridad desde etapas tempranas de concepción del proyecto. • No existe una tecnología que sea inmune a las vulnerabilidades. Desde el comienzo debes tener en cuenta que tu aplicación deberá permitir que le sea que actualizada la base tecnológica. • Selecciona una base tecnológica de fabricantes que suministran soporte.
  • 5. PARAMETRIZA LAS CONSULTAS • Los ataques de inyección de código SQL son unos de los más importantes problemas de seguridad a nivel mundial. • La inserción de un simple código SQL puede permitir que la base de datos entera sea robada, eliminada o modificada. • Si tenemos en cuenta que normalmente las bases de datos de varias aplicaciones web son gestionadas por el mismo SGBD. Puede afirmarse que un ataque contra una aplicación puede afectar al resto de las aplicaciones que consuman servicios del SGBD común.
  • 7. CODIFICA LOS DATOS • Convertir caracteres especiales de una forma que evite la ejecución de código ofuscado en el cliente. • Debe aplicarse en el momento en que se adicionen los datos al documento HTML.
  • 9. VALIDA TODAS LAS ENTRADAS • Todos los datos provenientes del clientes deben ser tratados como no confiables y deben ser analizados antes de ejecutar cualquier operación con ellos. • La validación debe ser sintáctica y semántica. • La validación final siempre tiene que ejecutarse en el servidor de aplicaciones.
  • 10. VALIDA TODAS LAS ENTRADAS • Campos de formularios. • Encabezados HTTP • Cookies. • Parámetros GET y POST (incluyendo campos ocultos) • Archivos. • Servicios (Web service, XML-RPC, etc.) • ¿Otros métodos HTTP?
  • 11. VALIDA TODAS LAS ENTRADAS • Utiliza listas negras de contenido malicioso. • Utiliza listas blancas de contenido “confiable”. • Recuerda que la validación no hace necesariamente las entradas más seguras. • La seguridad de la aplicación tiene que reforzarse donde las entradas son empleadas.
  • 12. -C5- IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
  • 13. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN • Implementa un mecanismo racional ante ataques de fuerza bruta. • Implementa un mecanismo seguro de recuperación de contraseñas. • Evita que las contraseñas sean recordadas y cacheadas.
  • 14. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN • ¿Cómo se generan, activan, expiran y transmiten los ID de sesión? (Ataques: Fijación de sesiones, secuestro de sesiones, predicción de ID de sesiones, etc.) • Repetir el proceso de autenticación ante operaciones sensibles como la confirmación de una compra o el cambio de contraseña.
  • 15. • Envía siempre las credenciales a través de canales seguros. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
  • 16. • Evita usar credenciales por defecto y la predicción de las existentes. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
  • 17. • Evita la enumeración de credenciales de usuarios. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
  • 18. • Evita el envío constante de credenciales primarias de usuarios. IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
  • 19. • ¿Cómo expiran las cookies de sesión? IMPLEMENTA CONTROLES DE IDENTIDAD Y AUTENTICACIÓN
  • 21. IMPLEMENTA CONTROLES DE ACCESO • No confundir la autorización con la autenticación. • Los controles de acceso son simples: Solo tienen que decir si el usuario tiene o no acceso a un determinado recurso.
  • 22. • Obliga todas las peticiones a pasar por un mecanismo único de autorización. • Deniega el acceso a los recursos por defecto. • Aplica el principio de menor privilegio. • Evita mezclar él código de la lógica de procesos con el código de la lógica de autorización: This makes auditing or proving the security of that software very difficult and time consuming. IMPLEMENTA CONTROLES DE ACCESO
  • 23. • Realiza chequeos de autorización dato/usuario en lugar de dato/rol. IMPLEMENTA CONTROLES DE ACCESO
  • 24. • Los datos necesarios para la autorización deben provenir del servidor y no del cliente. IMPLEMENTA CONTROLES DE ACCESO
  • 26. PROTEGE LOS DATOS • Determina cuales son los datos sensibles y encríptalos (Ej. Contraseñas almacenadas en la BD) • Encripta los datos transmitidos usando mecanismo como TLS (HTTPS). • Trata de que los datos no sean expuestos accidentalmente. • Evita la captura de información mediante técnicas de enumeración. • Si vas a crear un método de encriptación propio, más vale que sepas lo que haces.
  • 27. -C8- IMPLEMENTA MECANISMOS DE REGISTROS DE EVENTOS Y DETECCIÓN DE INTRUSOS
  • 28. IMPLEMENTA MECANISMOS DE REGISTROS DE EVENTOS Y DETECCIÓN DE INTRUSOS • Monitoreo de la aplicación • Estadísticas de procesos. • Auditoría informática. • Detección de Intrusos (IDS) • Actividades forenses.
  • 29. • Debe colectarse la información necesaria, ni mucha ni poca. • Registrar los ¿Quién, Qué, Cuando, Cómo? • No registrar datos confidenciales (Desde contraseñas de usuarios hasta información secreta) • Estar al tanto de las alertas y registros de actividades. • Implementar firewall de aplicaciones. IMPLEMENTA MECANISMOS DE REGISTROS DE EVENTOS Y DETECCIÓN DE INTRUSOS
  • 30. -C9- FORTALECE Y APÓYATE EN LA SEGURIDAD DE LA TECNOLOGÍA BASE
  • 31. FORTALECE Y APÓYATE EN LA SEGURIDAD DE LA TECNOLOGÍA BASE • Casi siempre la tecnología base viene con un conjunto de prácticas de seguridad implementadas. • Los fabricantes mantienen un control sobre las vulnerabilidades descubiertas y liberan nuevas versiones para corregir estas. • La tecnología base viene con una arquitectura de seguridad predefinida que es preferible comprender y usar antes de forzarla a utilizar métodos personalizados.
  • 32. FORTALECE Y APÓYATE EN LA SEGURIDAD DE LA TECNOLOGÍA BASE • Infórmate periódicamente sobre las vulnerabilidades y actualizaciones disponibles para aplicar los parches necesarios. • Planificar la actualización de la base tecnológica según los plazos de soporte de los fabricantes. • Desarrollar teniendo en cuenta que tienes que actualizar la tecnología base y sigue las pautas de los fabricantes. • Asume el cambio como algo permanente.
  • 34. GESTIONA CORRECTAMENTE LOS ERRORES • Los errores exponen estructuras internas de las aplicaciones web, permitiendo adquirir un mejor conocimiento de esta en función de diversificar las opciones de ataques disponibles. • Los mensajes de error específicos pueden ayudar a un atacante a tomar decisiones durante la intrusión. • Los errores pueden colocar el sistema en un estado inestable.
  • 35. Existe el usuario pero la Contraseña no es incorrecta El usuario no existe • Los mensajes de errores deben contener informaciones generales pero deben permitir que el usuario pueda guiarse. GESTIONA CORRECTAMENTE LOS ERRORES
  • 36. • Gestiona los errores de forma centralizada y evitando bloques duplicados try/catch. • Registra los errores producidos en el log de la aplicación web. GESTIONA CORRECTAMENTE LOS ERRORES
  • 37. GESTIONA CORRECTAMENTE LOS ERRORES • Registra los errores producidos en el log de la aplicación web.
  • 40. CONCLUSIONES • La seguridad informática es un proceso. • Hay que estar actualizado sobre los incidentes y nuevas vulnerabilidades descubiertas. • Profundiza en las buenas prácticas, componentes y soluciones para reforzar y mantener actualizada la seguridad de tus aplicaciones.
  • 41. root@b3h1qu3:~# CONTROLES PROACTIVOS DE OWASP ■ M e t o d ó l o g o y J e f e d e P r o y e c t o s d e H a c k i n g É t i c o | D i r e c c i ó n d e S e g u r i d a d I n f o r m á t i c a | V i c e r r e c t o r í a d e T e c n o l o g í a | U n i v e r s i d a d d e l a s C i e n c i a s I n f o r m á t i c a s | B l o g > B e h i q u e D i g i t a l Msc. Henry Raúl González Brito