Proyecto de seguridad de aplicaciones web abiertas
| ||||
OWASP. (Acrónimo de Open Web Application Security Project, en inglés ‘Proyecto de seguridad de aplicaciones web abiertas’) y en concreto la fundación nació a raíz del éxito del proyecto, conforma una serie de guías y proyectos relacionados con la implementación de la seguridad en desarrollos principalmente web.
Sumario
Surgimiento
Nacido en 2001, el proyecto liderado por expertos de seguridad y empresas colaboradoras, ofrece como base el documento “OWASP Development Guide” o Guía de desarrollo, cuya madurez y calidad, le han hecho merecedor de ser el estándar de facto en el mundo de la seguridad de los desarrollos web.La Fundación OWASP, una organización sin ánimo de lucro, se creó en 2004 para apoyar los proyectos e infraestructura de OWASP, depende para su mantenimiento de las donaciones y las cuotas de los socios, particulares y empresas.
La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.
Características
OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informática. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías.
Los documentos con más éxito de OWASP incluyen la Guía OWASP y el ampliamente adoptado documento de autoevaluación OWASP Top 10. Las herramientas OWASP más usadas incluyen el entorno de formación WebGoat, la herramienta de pruebas de penetración WebScarab y las utilidades de seguridad para entornos .NETOWASP DotNet. OWASP cuenta con unos 50 capítulos locales por todo el mundo y miles de participantes en las listas de correo del proyecto. OWASP ha organizado la serie de conferencias AppSec para mejorar la construcción de la comunidad de seguridad de aplicaciones web.
Proyectos
Los proyectos OWASP se dividen en dos categorías principales: proyectos de desarrollo y proyectos de documentación.
Proyectos de documentación
- Guía OWASP – Un enorme documento que proporciona una guía detallada sobre la seguridad de las aplicaciones web.
- OWASP Top 10 – Documento de alto nivel que se centra sobre las vulnerabilidades más críticas de las aplicaciones web.
- Métricas – Un proyecto para definir métricas aplicables de seguridad de aplicaciones web.
Legal – Un proyecto para ayudar a los vendedores y compradores de software a negociar adecuadamente los aspectos de seguridad en sus contratos.
- Guía de pruebas – Una guía centrada en la prueba efectiva de la seguridad de aplicaciones web.
- ISO 17799 – Documentos de apoyo para organizaciones que realicen revisiones ISO 17799.
- AppSec FAQ – Preguntas y respuestas frecuentes sobre seguridad de aplicaciones web.
Proyectos de desarrollo
- WebScarab – Un aplicación de chequeo de vulnerabilidades de aplicaciones web incluyendo herramientas proxy.
- Filtros de validación (Stinger para J2EE, filters para PHP) – Filtros genéricos de seguridad perimetral que los desarrolladores pueden usar en sus propias aplicaciones.
- WebGoat – Una herramientra interactiva de formación y benchmarking para que los usuarios aprendan sobre seguridad de aplicaciones web de forma segura y legal.
- DotNet – Un conjunto de herramientas para securizar los entornos NET.
Guía OWASP
Manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.
El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:
- El alcance de qué se debe probar
- Principios del testing
- Explicación de las técnicas de pruebas
- Explicación del marco de pruebas del OWASP
En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.
Fragmento del contenido temático
- Pruebas de intrusión de aplicaciones Web
- Spiders, Robots, y Crawlers
- Pruebas de firma digital de aplicaciones web
- Analisis de codigos de error
- Pruebas de SSL/TLS
- Pruebas del receptor de escucha de la BBDD
- Archivos antiguos, copias de seguridad y sin referencias
- Metodos http y XST
- Comprobación del sistema de autenticación
- Transmision de credenciales a traves de un canal cifrado
- Enumeracion de Usuarios
- Cuentas de usuario adivinables (diccionario) O por defecto
- Fuerza bruta
- Saltarse el sistema de autenticación
- Pruebas de gestión del caché de navegación y de salida de sesión
- Pruebas de Captcha
- Pruebas para atributos de cookies
- Pruebas para CSRF
- Pruebas de ruta transversal
- Pruebas de escalada de privilegios
- Pruebas de cross site scripting Reflejado
- Inyección SQL
- Inyeccion XML
- Pruebas de desbordamiento de búfer
- Pruebas de HTTP Splitting/Smuggling
- Pruebas de denegación de servicio
