O

Acerca de OWASP
Prefac
io

El soNware inseguro est debilitando las nanzas,
salud, defensa,
energa, y otras infraestructuras cr=cas. A
medida que la infraestructura digital se hace
cada ez ms com!le"a e interconectada, la
dicultad de lograr la seguridad en a!licaciones
aumenta e#!onencialmente. No se !uede dar el
lu"o de tolerar !roblemas de seguridad
rela=amente sencillos, como los que se !resentan
en este $%A&' (o! )*.

El ob"e=o del !royecto (o! )* es crear conciencia acerca
de la seguridad en a!licaciones mediante la
iden=caci+n de algunos de los riesgos ms
cr=cos que enfrentan las organizaciones. El
!royecto (o! )* es referenciado !or muchos
estndares, libros, herramientas, y organizaciones,
incluyendo ,-(.E, '/- 0&&, 0-&A, 1/(, y muchos ms
. Esta ersi+n de $%A&' (o! )* marca el aniersario
n2mero diez de este !royecto, de concien=zaci+n
sobre la im!ortancia de los riesgos de seguridad
en a!licaciones. $%A&' (o! )* fue lanzado !or
!rimera ez en 3**4, con actualizaciones menores en
3**5 y 3**6. 7a ersi+n 3*)* fue renoada !ara dar
!rioridad al riesgo, no s+lo a la !realencia. 7a edici+n
3*)4 sigue el mismo enfoque.

7o initamos a que u=lice el (o! )* !ara hacer que
su organizaci+n se inicie en la tem=ca sobre
seguridad en a!licaciones. 7os desarrolladores
!ueden a!render de los errores de otras
organizaciones. 7os e"ecu=os deben comenzar a
!ensar como ges=onar el riesgo que las
a!licaciones de soNware crean en sus em!resas.

A largo !lazo, le recomendamos que cree un !rograma
de seguridad en a!licaciones que sea com!a=ble
con su cultura y su tecnologa. Estos !rogramas
ienen en todas las formas y tama8os, y debe
eitar tratar de hacer todo lo !rescrito !or
alg2n modelo de !rocesos. En cambio, debe de
a!roechar las fortalezas e#istentes en su
organizaci+n !ara hacer y medir lo que le funcione a
usted. Es!eramos que $%A&' (o! )* sea 2=l !ara
sus esfuerzos de seguridad en a!licaciones. 'or
faor no dude en !onerse en contacto con
$%A&' !ara sus dudas, comentarios, e ideas, ya
sea !2blicamente a owas! 9:to!ten;lists.owas!.or g o
en !riado a dae.wichers;owas!.org.
Acerca de
OWASP

El !royecto abierto de seguridad en a!licaciones %eb
<$%A&' !or
sus siglas en ingl=s> es una comunidad abierta
dedicada a facultar a las organizaciones a desarrollar,
adquirir y mantener a!licaciones que !ueden ser
conables. En $%A&' encontrar gratuitas y abiertas ?

@ Berramientas y estndares de seguridad en
a!licaciones
@ 7ibros com!letos de reisiones de seguridad en
a!licaciones, desarrollo de c+digo fuente seguro, y
reisiones de seguridad en c+digo fuente
@ /ontroles de seguridad estndar y libreras
@ /a!tulos locales en todo el mundo
@ -nes=gaciones de anguardia
@ E#tensas conferencias alrededor del mundo
@ 7istas de correo

A!renda ms enC
hD!sCEEwww.owas!.org

(odas las herramientas de $%A&', documentos,
foros, y ca!tulos son gratuitas y abiertas a cualquiera
interesado en me"orar la seguridad en
a!licaciones. Abogamos !or resoler la seguridad en
a!licaciones como un !roblema de !ersonas,
!rocesos y tecnologa, ya que los enfoques ms
efec=os !ara la seguridad en a!licaciones
requieren me"oras en todas estas reas.

$%A&' es un nueo =!o de organizaci+n. Nuestra
libertad de !resiones comerciales nos !ermite
!roeer informaci+n sobre seguridad en
a!licaciones sin sesgos, !rc=ca y efec=a.
$%A&' no est aliada con ninguna com!a8a de
tecnologa, aunque a!oyamos el uso instruido de
tecnologas de seguridad comercial. Al igual que
muchos otros !royectos de soNware de c+digo
abierto, $%A&' !roduce muchos =!os de
materiales en una manera abierta y colabora=a.

7a fundaci+n $%A&' es una en=dad sin nimo de lucro
!ara asegurar el =#ito a largo !lazo del !royecto.
/asi todos los asociados con $%A&' son
oluntarios, incluyendo la "unta direc=a de $%A&',
comit=s globales, lderes de ca!tulos, los lderes y
miembros de !royectos. A!oyamos la ines=gaci+n
innoadora sobre seguridad a tra=s de becas e
infraestructura.

FGnase a
nosotrosH
Derechos de Autor y
Licencia
/o!yright I 3**4 J 3*)4 (he $%A&' 1ounda=on

Este documento se distribuye ba"o la licencia 4.* de /rea=e /ommons ADribu=on
&hareAliKe. 'ara cualquier
reu=lizaci+n o distribuci+n, debe de"ar claro los t=rminos de la licencia de esta obra.
I
Introduccin
Bienveni
dos
Lienenidos al $%A&' (o! )* 3*)4H Esta actualizaci+n !rofundiza sobre una de las categoras de la
ersi+n 3*)*, a n de ser ms inclusio, sobre im!ortantes ulnerabilidades comunes, y reordena algunos
de los dems basndose en el cambio de los datos de !realencia. (ambi=n !resenta un com!onente de seguridad
como centro de atenci+n, mediante la creaci+n de una categora es!ecca !ara este riesgo, sacndolo de la
oscuridad de la letra !eque8a del (o! (en 3*)*M ANC 7a conguraci+n de seguridad incorrecta.

El $%A&' (o! )* 3*)4, se basa en O con"untos de datos de 6 rmas es!ecializadas en seguridad de
a!licaciones, incluyendo 5 em!resas
consultoras y 4 !roeedores de herramientas E&aa& <) est=co, dinmico ), y ) con ambos>. Estos
datos abarcan ms de P**.*** ulnerabilidades a tra=s de cientos de organizaciones y miles de a!licaciones.
7as ulnerabilidades del (o! )* son seleccionadas y !riorizadas de acuerdo a estos datos de !realencia, en
combinaci+n con es=maciones consensuadas de e#!lotabilidad, detectabilidad e im!acto.

El ob"e=o !rinci!al del (o! )* es educar a los desarrolladores, dise8adores, arquitectos, gerentes, y
organizaciones M sobre las consecuencias de las ulnerabilidades de seguridad ms im!ortantes en a!licaciones
web. El (o! )* !roee t=cnicas bsicas sobre como !rotegerse en estas reas de alto riesgo J y tambi=n !roee
orientaci+n sobre los !asos a seguir.
Advertenc
ias

No se detenga en el Top !. E#isten cientos de
!roblemas que
!ueden afectar la seguridad en general de una
a!licaci+n web , tal como se ha discu=do en
la Dua de 0esarrollo $%A& ' y $%A&' /heat
&heet. Este documento es de lectura esencial !ara
cualquiera que desarrolle a!licaciones web hoy en da.
Qna efec=a orientaci+n en como encontrar
ulnerabilidades en a!licaciones web es
suministrada en las Dua de 'ruebas $%A&' y
la Du a de .eisi+n de /+digo $%A&' .

"a#$io constante. Este (o! )* con=nuar
cambiando. -ncluso sin cambiar una sola lnea de
c+digo en la a!licaci+n, es !osible llegar a ser
ulnerable, ya que al descubrirse nueos
defectos, los ataques son renados. 'or faor,
reise los conse"os al nal del (o! )* R' r +#im os
! a sos ! a r a 0 e s a r r o l l a d o r e s, S e r i c a d o r e s y $rganizacionesT !ara
mayor informaci+n.

Piense posi"va#ente. /uando se encuentre
!re!arado !ara de"ar de buscar ulnerabilidades y
focalizarse en establecer controles seguros de
a!licaciones, $%A&' ha !roducido el
A!!lica=on &ecurity Serica=on &tandard <A&S&>
como una gua !ara organizaciones y reisores de
a!licaciones que detalla los controles de seguridad a
ericar en una a!licaci+n.

%"lice herra#ientas inteligente#ente& 7as
ulnerabilidades de seguridad !ueden ser bastante
com!le"as y encontrarse ocultas en monta8as de
c+digo. En muchos casos, el enfoque mas
eciente y econ+mico !ara encontrar y eliminar
dichas ulnerabilidades es la combinaci+n de
e#!ertos armados con buenas herramientas !ara
realizar esta tarea.

Push le'& Enfocarse en hacer que la seguridad sea
!arte de la cultura organizacional a tra=s de todo el
ciclo de desarrollo. 'uede encontrar ms informaci+n en
$! e n &oNwa re A ssu ranc e ,atu ri t y ,od e l
<& A ,, > y .ugged BandbooK .
Agradeci#ientos

Dracias a As!ect &ecurity !or iniciar, liderar, y
actualizar el $%A&'
(o! )*, desde sus inicios en 3**4, y a sus autores
!rimariosC UeV %illiams y 0ae %ichers.




Nos gustara agradecer a las siguientes
organizaciones que contribuyeron con datos
!redominantes de ulnerabilidades !ara actualizar el
(o! (en.

W As!ect &ecurity J & ta= s = cs
W B' J & ta= s = cs tanto de 1or=fy como de
%eb-ns!ect
W ,inded &ecurity J &ta=s=cs
W &oNteK J & ta= s = cs
W (rustwae, &!ider7abs J & ta= s = cs <Ser !g. P*>
W Seracode J & ta= s = cs
W %hiteBat &ecurity -nc. J & ta= s = cs

Nos gustara dar las gracias a todos los que
contribuyeron con las ersiones anteriores del (o! )*.
&in estas a!ortaciones, no sera lo que es hoy. (ambi=n
nos gustara dar las gracias a aquellos que han
a!ortado comentarios construc=os y a los que
dedicaron =em!o de reisi+n de esta actualizaci+n del
(o! )*C

W Adam Laso <%iKimedia 1ounda=on>
W ,iKe LobersKi <Looz Allen Bamilton>
W (orsten Digler
W Neil &mithline J <,or!ho(rust Q&A> 'or !roducir la
wiKi de
esta ersi+n del (o! )* y !ro!orcionar
informaci+n.

X, !or 2l=mo, nos gustara de antemano dar las
gracias a todos los traductores !or traducir esta ersi+n
del (o! )* en arios idiomas, lo que ayuda a hacer que
el $%A&' (o! )* sea accesible al !laneta entero.
(N
Notas so$re la versin

)*u+ ha ca#$iado del
,!! al ,!-.
El escenario de amenazas !ara la seguridad en a!licaciones cambia constantemente. 7os factores clae en esta
eoluci+n son los aances hechos !or los atacantes, la liberaci+n de nueas tecnologas con nueas
debilidades y defensas incor!oradas, as como el des!liegue de sistemas cada ez ms com!le"os. 'ara mantener
el ritmo, actualizamos !eri+dicamente el $%A&' (o! )*. En esta ersi+n 3*)4, hemos realizado los siguientes
cambiosC

)> Lasados en nuestros datos, la '=rdida de Auten=caci+n y Des=+n de &esiones ascendi+ en !realencia.
'ensamos que !robablemente se deba a que se estn realizando mayores esfuerzos de detecci+n, y no a un
aumento de !realencia en s. 'or este mo=o, intercambiamos las !osiciones de los riesgos A3 y A4.
3> 1alsicaci+n de 'e=ciones en &i=os /ruzados </&.1> disminuy+ en !realencia en base a nuestros datos, !or lo
tanto descendi+ de la !osici+n 3*)*9:AP a la !osici+n 3*)49:AO. /reemos que se debe a que =ste ha estado
durante N a8os en el $%A&' (o! )* , mo=ando a las organizaciones y desarrolladores de frameworks a
enfocarse lo suciente !ara reducir signica=amente el n2mero de ulnerabilidades en las a!licaciones del
Ymundo realY.
4> Bemos am!liado 1alla de .estricci+n de Acceso a Q.7 desde el $%A&' (o! )* 3*)* !ara brindarle
un signicado ms am!lioC
Z 3*)*9:AOC 1alla de .estricci+n de Acceso a Q.7 ahora es 3*)4 9 : A6C Ausenci a de /ontrol de Acceso a las
1unciones 9: !ara cubrir todos los
controles de acceso a niel de funci+n. E#isten muchas maneras de es!ecicar a qu= funci+n se
accede, no s+lo la Q.7.
5> Bemos fusionado y am!liado 3*)*9:A6 y A[9:3*)* !ara crearC 3*)4 9 : ANC E#!osici+n
de 0atos &ensibles C
Z Esta nuea categora fue creada !or la fusi+n de 3*)*9:A6 9: Almacenamiento /ri!togrco -nseguro y 3*)*9:A[ 9:
'rotecci+n
-nsuciente en la /a!a de (rans!orte, adems de a8adir riesgos de e#!osici+n de datos sensibles en
el naegador. Esta nuea categora abarca la !rotecci+n de datos sensibles <dis=nta al control de acceso,
que est cubierta !or 3*)49:A5 y 3*)49:A5> desde que es !roisto !or el usuario, transmi=do, almacenado
!or la a!licaci+n y eniado al naegador nueamente.
P> Bemos a8adido 3*)4 9 : A[C Qso de /om!onentes con
Sulnerabilidades /onocidas C
Z Este tema fue mencionado como !arte de 3*)*9:AN 9: 0efectuosa conguraci+n de seguridad, !ero ahora
!osee una categora !ro!ia
debido al crecimiento del desarrollo basado en com!onentes. Esto ha incrementado de manera signica=a
el riesgo de la u=lizaci+n
de com!onentes con ulnerables
conocidas.
OWASP Top ! / ,!! 0Previo1 OWASP Top
! / ,!- 0Nuevo1
A / Inyeccin A / Inyeccin
A- / P+rdida de Auten"cacin y 2es"n de Sesiones A, / P+rdida de
Auten"cacin y 2es"n de Sesiones A, / Secuencia de "o#andos en Si"os "ru3ados 04SS1
A- / Secuencia de "o#andos en Si"os "ru3ados 04SS1 A5 / (eferencia Directa Insegura a
O$6etos A5 / (eferencia Directa Insegura a O$6etos
A7 / Defectuosa "on8guracin de Seguridad A9 /
"on8guracin de Seguridad Incorrecta A: / Al#acena#iento "riptogr;8co Inseguro /
'usionada A<= A7 / >?posicin de Datos Sensi$les
A@ / 'alla de (estriccin de Acceso a %(L / A#pliada en = A: / Ausencia de "ontrol de
Acceso a las 'unciones
A9 / 'alsi8cacin de Pe"ciones en Si"os "ru3ados 0"S('1 A@ / 'alsi8cacin de
Pe"ciones en Si"os "ru3ados 0"S('1
Adentro de A7B / Defectuosa "on8guracin de SeguridadC A< / %so de
"o#ponentes con Dulnera$ilidades "onocidas A! / (edirecciones y reenvEos no validados
A! / (edirecciones y reenvEos no validados
A< / Proteccin Insu8ciente en la "apa de Transporte 'usionada con ,!!FGA: en la
nueva ,!-FGA7
(iesgo (iesgos de Seguridad en
Aplicaciones
)*u+ son los riesgos de seguridad en aplicaciones.

7os atacantes !ueden !otencialmente usar rutas diferentes a tra=s de la a!licaci+n !ara hacer da8o a su negocio u
organizaci+n. /ada una de
estas rutas re!resenta un riesgo que !uede, o no, ser lo sucientemente grae como !ara "us=car la atenci+n.









Agente
s
de
A#ena3a

Dectore
s
de
AtaHue
AtaHu
e
AtaH
ue
AtaHu
e
De$ilidad
es
de
Seguridad


De$ilidad

De$ilidad

De$ilidad
"ontrole
s
de
Seguridad

"ontr
ol
"ontr
ol
I#pacto
s
T+cnic
os
(ecur
so
'unci
n
(ecurs
o
I#pactos
al Negocio
I#pact
o
I#pac
to
I#pacto


De$ilidad
"ontrol
A eces, estas rutas son triiales de encontrar y e#!lotar, y a eces son muy di\ciles. 0el mismo
modo, el da8o que se causa !uede ir de ninguna consecuencia, o !onerlo fuera del negocio. 'ara
determinar el riesgo en su organizaci+n, !uede ealuar la !robabilidad asociada a cada agente de amenaza, ector
de ataque, y la debilidad en la seguridad, y combinarla con una es=maci+n del im!acto t=cnico y de negocios !ara
su organizaci+n. En con"unto, estos factores determinan el riesgo global.
)"u;l es Ii
riesgo.
El $%A&' (o! )* se enfoca en la iden=caci+n de los riesgos
ms serios !ara una am!lia gama de organizaciones. 'ara cada uno de
estos riesgos, !ro!orcionamos informaci+n gen=rica sobre la
!robabilidad y el im!acto t=cnico a tra=s del siguiente esquema de
calicaciones, que est basado en ,etodolog a de Ealuaci+n de .iesgos
$%A&' .






&+lo usted sabe los detalles
es!eccos de su negocio. 'ara una
a!licaci+n determinada, !odra no
e#is=r un agente de amenaza que !ueda
e"ecutar el ataque en cues=+n, o
el im!acto t=cnico !odra no hacer
ninguna diferencia en su negocio.
'or lo tanto, usted debe ealuar
cada riesgo, enfocndose en los
agentes de amenaza, los controles
de seguridad y el im!acto al
negocio. Nosotros enunciamos
los Agentes de Amenaza como
es!eccos de la a!licaci+n, y el
im!acto al negocio como
es!ecco de la
a!licaci+nEnegocio, con el n de
indicar que estos son claramente
Agente

de
Sectores

de
'realencia
de
0ebilidades
0etectabilida
d
de
-m!acto
(=cnico

-m!acto
al
Negocio
>specE8
co de la
aplicaci
on
1cil 0ifundido 1cil &eero
>specE8
co de la
aplicaci
n
Jnegocio
'romedio

/om2n 'romedio ,oderado

0i\cil 'oco
/om2n
0i\cil ,enor
de!endientes de los detalles es!eccos de las a!licaciones en su
em!resa.
7os nombres de los riesgos en el (o! )* derian del =!o de ataque, el
=!o de debilidad o el
=!o de im!acto que causan. Bemos elegido los nombres que
re]e"an con !recisi+n los riesgos y, cuando es !osible, alineamos con la
terminologa com2n !ara aumentar el niel de conciencia sobre ellos.
(eferencias

OWASP
$%A&' .isK .a= ng ,ethodology
Ar = cle on (hreatE.isK ,odeling

>?ternas
1A -. -nform a= on .isK 1rameworK
,icroso N (hre at ,odeling
<&(.-0E and 0.EA0>

OWASP Top ! de
(iesgos de Seguridad
en Aplicaciones
AFG
Inyeccin
7as fallas de inyecci+n, tales como &^7, $&, y 70A', ocurren cuando datos no
conables son eniados a un inter!rete como !arte de un comando o consulta. 7os
datos hos=les del atacante !ueden enga8ar al inter!rete en e"ecutar comandos no
intencionados o acceder datos no autorizados.
A, /
P+rdida de
Auten"caci
n y
2es"n de
Sesiones
7as funciones de la a!licaci+n relacionadas a auten=caci+n y ges=+n de sesiones
son frecuentemente im!lementadas incorrectamente, !ermi=endo a los atacantes
com!rometer contrase8as, claes, toKen de sesiones, o e#!lotar otras fallas de
im!lementaci+n !ara asumir la iden=dad de otros usuarios.
A- /
Secuencia de
"o#andos en
Si"os "ru3ados
04SS1
7as fallas _&& ocurren cada ez que una a!licaci+n toma datos no conables y los ena
al naegador web sin una alidaci+n y codicaci+n a!ro!iada. _&& !ermite a los
atacantes e"ecutar secuencia de comandos en el naegador de la ic=ma los cuales
!ueden secuestrar las sesiones de usuario, destruir si=os web, o dirigir al usuario hacia
un si=o malicioso.
A5 /
(eferencia
Directa
Insegura a
O$6etos
Qna referencia directa a ob"etos ocurre cuando un desarrollador e#!one una
referencia a un ob"eto de im!lementaci+n interno, tal como un chero, directorio, o
base de datos. &in un chequeo de control de acceso u otra !rotecci+n, los
atacantes !ueden mani!ular estas referencias !ara acceder datos no autorizados.
A9 /
"on8guracin
de Seguridad
Incorrecta
Qna buena seguridad requiere tener denida e im!lementada una conguraci+n
segura !ara la a!licaci+n, marcos de traba"o, seridor de a!licaci+n, seridor web,
base de datos, y !lataforma. (odas estas conguraciones deben ser denidas,
im!lementadas, y mantenidas ya que !or lo general no son seguras !or defecto. Esto
incluye mantener todo el soNware actualizado, incluidas las libreras de c+digo
u=lizadas !or la a!licaci+n.
A7 /
>?posicin
de datos
sensi$les
,uchas a!licaciones web no !rotegen adecuadamente datos sensibles tales como
n2meros de tar"etas de cr=dito o credenciales de auten=caci+n. 7os atacantes !ueden
robar o modicar tales datos !ara llear a cabo fraudes, robos de iden=dad u otros
delitos. 7os datos sensibles requieren de m=todos de !rotecci+n adicionales tales
como el cifrado de datos, as como tambi=n de !recauciones es!eciales en un
intercambio de datos con el naegador.
A: / Ausencia
de "ontrol de
Acceso a
'unciones
7a mayora de a!licaciones web erican los derechos de acceso a niel de funci+n
antes de hacer isible en la misma interfaz de usuario. A !esar de esto, las
a!licaciones necesitan ericar el control de acceso en el seridor cuando se accede a
cada funci+n. &i las solicitudes de acceso no se erican, los atacantes !odrn realizar
!e=ciones sin la autorizaci+n a!ro!iada.
A@ FG
'alsi8cacin
de Pe"ciones
en Si"os
"ru3ados
0"S('1
Qn ataque /&.1 obliga al naegador de una ic=ma auten=cada a eniar una
!e=ci+n B((' falsicado, incluyendo la sesi+n del usuario y cualquier otra informaci+n
de auten=caci+n incluida autom=camente, a una a!licaci+n web ulnerable. Esto
!ermite al atacante forzar al naegador de la ic=ma !ara generar !edidos que la
a!licaci+n ulnerable !iensa son !e=ciones leg=mas !roenientes de la ic=ma.
A< / %"li3acin de co#ponentes con vulnera$ilidades
conocidas
A! / (edirecciones y reenvios no validados
T!
Algunos
com!onentes tales
como las libreras, los
frameworKs y otros
m+dulos de soNware
casi siem!re
funcionan con todos
los !riilegios. &i se
ataca un com!onente
ulnerable esto !odra
facilitar la intrusi+n en el seridor o una !erdida seria de datos. 7as a!licaciones que
u=licen com!onentes con ulnerabilidades conocidas debilitan las defensas de la
a!licaci+n y !ermiten am!liar el rango de !osibles ataques e im!actos.
7as a!licaciones web frecuentemente redirigen y reenan a los usuarios hacia otras
!ginas o si=os web, y u=lizan datos no conables !ara determinar la !gina de
des=no. &in una alidaci+n a!ro!iada, los atacantes !ueden redirigir a las c=mas
hacia si=os de !hishing o malware, o u=lizar reenos !ara acceder !ginas no
autorizadas.
A
Inyeccin
Agentes
de
A#ena3
a
>specE8co
de la
Dectores
de AtaHue

>?plota$ili
dad

De$ilidade
s
de
Seguridad
Prevalencia
Detecci
n

I#pact
os
T+cnic
os
I#pact
o
I#pacto
s
al
negocio
>specE8co
de la
Aplicaci
n
'K"I
L
"OIL
N
P(OI>D
IO
S>D>(
O
aplicacinJnego
cio
/onsidere a
cualquiera que
!ueda eniar
informaci+n no
conable al sistema,
incluyendo usuarios
e#ternos, usuarios
internos y
administradores.
El atacante ena
ataques con cadenas
sim!les de te#to, los
cuales e#!lotan la
sinta#is del
inter!rete a ulnerar.
/asi cualquier fuente
de datos !uede ser
un ector de
inyecci+n, incluyendo
las fuentes internas.
7as fallas de inyecci+n ocurren cuando
una a!licaci+n ena informaci+n no
conable a un inter!rete. Estas fallas son
muy comunes, !ar=cularmente en el
c+digo an=guo. &e encuentran,
frecuentemente, en las consultas &^7,
70A', _!ath o No&^7M los comandos de
&$, int=r!retes de _,7, encabezados de
&,(', argumentos de !rogramas, etc.
Estas fallas son fciles de descubrir al
e#aminar el c+digo, !ero di\ciles de
descubrir !or medio de !ruebas. 7os
analizadores y `fuzzersa !ueden ayudar a
los atacantes a encontrar fallas de
inyecci+n.
Qna inyecci+n
!uede causar
!=rdida o
corru!ci+n de
datos, !=rdida de
res!onsabilidad, o
negaci+n de
acceso. Algunas
eces, una
inyecci+n !uede
llear a
el com!romiso total
de el
seridor.
/onsidere el alor
de negocio de los
datos afectados y la
!lataforma sobre la
que corre el
int=r!rete. (odos los
datos !ueden ser
robados,
modicados o
eliminados. b'odra
ser da8ada su
re!utaci+nc
)Soy
Dulnera$le.
7a me"or manera de aeriguar si una a!licaci+n
es ulnerable a una inyecci+n es ericar que en
todo uso de int=r!retes se se!ara la informaci+n no
conable del comando o consulta. 'ara llamados &^7,
esto signica usar ariables !arametrizadas en todas
las sentencias !re!aradas <!re!ared statements> y
!rocedimientos almacenados, eitando las consultas
dinmicas.
Sericar el c+digo es una manera r!ida y !recisa !ara er si la
a!licaci+n usa int=r!retes de manera segura.
Berramientas de anlisis de c+digo !ueden ayudar al
analista de seguridad a er como se u=lizan los
int=r!retes y seguir el ]u"o de datos a tra=s de la
a!licaci+n. 7os testadores !ueden alidar estos
!roblemas al crear !ruebas que conrmen la
ulnerabilidad.
El anlisis dinmico automa=zado, el cual e"ercita la
a!licaci+n !uede !roeer una idea de si e#iste alguna
inyecci+n e#!lotable. 7os analizadores automa=zados
no siem!re !ueden alcanzar a los int=r!retes y
se les diculta detectar si el ataque fue e#itoso. Qn
mane"o !obre de errores hace a las inyecciones fciles
de descubrir.
)"#o prevenirlo.
Eitar una inyecci+n requiere mantener los datos no
conables
se!arados de los comandos y consultas.
). 7a o!ci+n !referida es usar una A'- segura la cual
eite el uso de inter!retes !or com!leto o
!roea una interface !arametrizada. &ea
cuidadoso con las A' - s , como los
!rocedimiento almacenados, que son
!arametrizados, !ero que a2n !ueden introducir
inyecciones en el motor del inter!rete.
3. &i una A'- !arametrizada no est dis!onible, debe
codicar cuidadosamente los caracteres
es!eciales, usando la sinta#is de esca!e es!ecca del
int=r!rete. $%A&' E&A' - !roee muchas de estas
ru = nas de codicaci+n .
4. 7a alidaci+n de entradas !osi=a o de Ylista
blancaY tambi=n se recomienda, !ero no es una
defensa integral dado que muchas a!licaciones
requieren caracteres es!eciales en sus
entradas. &i se requieren caracteres es!eciales,
solo las soluciones anteriores
). y 3. haran su uso seguro. 7a E&A'- de $%A&'
=ene una
librera e#tensible de ru = nas de alidaci+n !osi = a .
>6e#plos de >scenarios de
AtaHues
Escenario d) C 7a a!licaci+n usa datos no conables en
la
construcci+n de la siguiente instrucci+n &^7
ulnerableC
String Huery M NS>L>"T O '(OI accounts
WP>(>
custIDMQN R reHuest&getPara#eter0NidN1 R NQNS
Escenario d3 C 0e manera similar, si una a!licaci+n
con\a ciegamente en el frameworK !uede resultar en
consultas que a2n son ulnerables, <e"., Bibernate
^uery 7anguage <B^7>>C
*uery P*L*uery M session&create*uery0T'(OI
accounts
WP>(> custIDMQT R reHuest&getPara#eter0NidN1
R NQN1S
En ambos casos, al atacante modicar el !armetro
eidf en su
naegador !ara eniarC Q or QQMQ. 'or e"em!loC
hvpBJJe?a#ple&co#JappJaccountDieU.idMQ or
QQMQ
Esto cambia el signicado de ambas consultas
regresando todos los registros de la tabla RaccountsT.
Ataques ms !eligrosos !ueden modicar datos o
incluso inocar !rocedimientos almacenados.
(eferencias
OWASP
@
$%A&' &^7 -n"ec = on 'reen = on /he at &heet
@
$%A&' ^uery 'arameteri za= on /heat &heet
@
$%A&' /ommand -n"ec = on Ar= cle
@
$%A&' _,7 e_ternal En=ty <__E> .eference Ar=cle
@
A&S&C $ut!ut EncodingEEsca!ing .equirements <SN>
@
$%A&' (es=ng DuideC /ha!ter on &^7 -n"ec=on (e s=ng

>?ternas
@
/%E Entry 66 on /ommand -n"ec = on
@
/%E Entry O[ on &^7 -n"ec=on
@
/%E Entry PN5 on Bibernate -n"ec = on

P+rdida de
Auten"cacin y
2es"n de Sesiones

Dectores

De$ilidade
s

I#pacto
s
I#pactos
/onsidere atacantes
an+nimos e#ternos,
as como a usuarios
con sus !ro!ias
cuentas, que !odran
intentar robar
cuentas de otros.
/onsidere tambi=n a
traba"adores que
quieran enmascarar
sus acciones.
El atacante u=liza
ltraciones o
ulnerabilidades en
las funciones de
auten=caci+n o
ges=+n de las
sesiones <e". cuentas
e#!uestas,
contrase8as,
iden=cadores de
sesi+n> !ara su!lantar
otros usuarios.
7os desarrolladores a menudo crean
esquemas !ro!ios de auten=caci+n o
ges=+n de las sesiones, !ero
construirlos en forma correcta es di\cil.
'or ello, a menudo estos esquemas
!ro!ios con=enen ulnerabilidades en el
cierre de sesi+n, ges=+n de contrase8as,
=em!o de descone#i+n <e#!iraci+n>,
funci+n de recordar contrase8a, !regunta
secreta, actualizaci+n de cuenta, etc.
Encontrar estas ulnerabilidades !uede
ser di\cil ya que cada im!lementaci+n es
2nica.
Estas
ulnerabilidades
!ueden !ermi=r
que algunas o todas
las cuentas sean
atacadas. Qna ez
que el ataque
resulte e#itoso, el
atacante !odra
realizar cualquier
acci+n que la
c=ma !udiese.
7as cuentas
!riilegiadas son
ob"e=os
!rioritarios.
/onsidere el alor
de negocio de los
datos afectados o
las funciones de la
a!licaci+n
e#!uestas.
(ambi=n considere
el im!acto en el
negocio de la
e#!osici+n !2blica
de
la ulnerabilidad.
)Soy Dulnera$le.
bEstn correctamente !rotegidos los ac=os de la
ges=+n de sesiones como credenciales y los
iden=cadores <-0> de sesi+nc 'uedes ser
ulnerable siC
). 7as credenciales de los usuarios no estn
!rotegidas cuando se
almacenan u=lizando un hash o cifrado. Ser el
!unto AN.
3. &e !ueden adiinar o sobrescribir las credenciales a
tra=s de
funciones d=biles de ges=+n de la sesi+n <e".,
creaci+n de
usuarios, cambio de contrase8as, recu!eraci+n de
contrase8as,
-0 de sesi+n d=biles>.
4. 7os -0 de sesi+n son e#!uestos en la Q.7 <e"., re9:
escritura de
Q.7>.
5. 7os -0 de sesi+n son ulnerables a ataques de
"aci+n de la
sesi+n.
P. 7os -0 de sesi+n no e#!iran, o las sesiones de
usuario o los toKens
de auten=caci+n. En !ar=cular, los toKens de inicio
de sesi+n
2nico <&&$>, no son inalidados durante el cierre de
sesi+n.
N. 7os -0 de sesiones no son rotados luego de una
auten=caci+n
e#itosa.
6. 7as contrase8as, -0 de sesi+n y otras credenciales
son trasmi=das
a tra=s de canales no cifrados. Ser el !unto AN.
Sisitar la secci+n de requisitos de A&S& S3 y S4 !ara
ms detalles.
>6e#plos de >scenarios de
AtaHues
Escenario d)C A!licaci+n de resera de uelos que
so!orta re9:
escritura de Q.7 !oniendo los -0 de sesi+n en la !ro!ia
direcci+nC
hvpBJJe?a#ple&co#JsaleJ
saleite#sM"sessionid=3'*$/3U0'_,*$^&N07'&
gB/UQN3US. destMPaUaii
Qn usuario auten=cado en el si=o quiere mostrar la
oferta a sus amigos. Ena !or correo electr+nico el
enlace anterior, sin ser consciente de que est
!ro!orcionando su -0 de sesi+n. /uando sus amigos
u=licen el enlace u=lizarn su sesi+n y su tar"eta de
cr=dito.
Escenario d3 C No se establecen correctamente los
=em!os de e#!iraci+n de la sesi+n en la a!licaci+n.
Qn usuario u=liza un ordenador !2blico !ara acceder
al si=o. En lugar de cerrar la sesi+n, cierra la !esta8a
del naegador y se marcha. Qn atacante u=liza el
mismo naegador al cabo de una hora, y ese
naegador todaa se encuentra auten=cado.
Escenario d4 C Qn atacante interno o e#terno a la
organizaci+n, consigue acceder a la base de datos de
contrase8as del sistema. 7as contrase8as de los
usuarios no se encuentran cifradas, e#!oniendo todas
las contrase8as al atacante.
A,
Agentes de
de AtaHue de
Seguridad
T+cnicos

al
negocio
A#ena3a
>specE8co de la
>?plota$ilid Prevalencia
Deteccin
I#pacto
>specE8co de
Aplicacin
P(OI>DIO

DI'%NDIDO
P(OI>DIO
S>D>(O

aplicacinJneg
ocio
)"#o prevenirlo.
7a recomendaci+n !rinci!al !ara una organizaci+n es
facilitar a los
desarrolladoresC
& %n Vnico con6unto de controles de
auten"cacin y ges"n de
sesiones fuerte& 0ichos controles debern
conseguirC
a. /um!lir con todos los requisitos de
auten=caci+n y ges=+n de sesiones denidos
en el A!!lica=on &ecurity Serica=on &tandard
<A&S&> de $%A&', secciones S3 <Auten=caci+n>
y S4 <Des=+n de sesiones>.
b. (ener un interfaz sim!le !ara los
desarrolladores. /onsiderar el uso de E&A'-
Authen=cator y las A'-s de usuario como
buenos e"em!los a seguir, u=lizar o sobre los
que construir.
3. &e debe realizar un gran esfuerzo en eitar
ulnerabilidades de _&& que !odran ser u=lizadas
!ara robar -0 de sesi+n. Ser el !unto A4.
(eferencias
OWASP
'ara un mayor con"unto de requisitos y !roblemas a
eitar en esta
rea, er las
secciones de requisitos de A&S& !ara Auten=caci+n
<S3> y Des=+n de
&esiones <S4>.
@
$%A&' Authen=ca=on /heat &heet
@
$%A&' 1orgot 'assword /heat &heet
@
$%A&' &ession ,anagement /heat &heet
@
$%A&' 0eelo!ment DuideC /ha!ter on Authen = c a= on

@
$%A&' (es=ng DuideC /ha!ter on Authen = c a= on
>?ternas
@
/%E Entry 3O6 on -m!ro!er Authen = c a= on
@
/%E Entry 4O5 on &ession 1i# a= on
Secuencia de "o#andos
en Si"os "ru3ados
04SS1
incluyendo
usuarios
e#ternos,
internos y
administradores
.
int=r!rete del
naegador. /asi
cualquier fuente de
datos !uede ser un
ector de ataque,
incluyendo fuentes
internas tales como
datos de la base de
datos.
alidados o codicados a!ro!iadamente.
E#isten
tres =!os de fallas conocidas _&&C )>
Almacenadas,
3> .e]e"adas, y 4> basadas en 0$, .
7a mayora de las fallas _&& son
detectadas de forma rela=amente fcil a
tra=s de !ruebas o !or medio del
anlisis del c+digo.
!ara secuestrar las
sesiones de usuario,
alterar la a!ariencia
del si=o web,
insertar c+digo
hos=l, redirigir
usuarios, secuestrar
el naegador de la
c=ma u=lizando
malware, etc.
(ambi=n considere
el im!acto en el
negocio la
e#!osici+n !2blica
de la
ulnerabilidad.
)Soy Dulnera$le.
Es ulnerable si no asegura que todas las entradas de
datos ingresadas !or los usuarios son codicadas
adecuadamenteM o si no se erica en el momento de
ingreso que los datos sean seguros antes de ser incluidos
en la !gina de salida. &in la codicaci+n o alidaci+n
debida, dicha entrada ser tratada como contenido
ac=o en el naegador. 0e u=lizarse A"a# !ara
actualizar dinmicamente la !gina, bu=liza una A' - de
Uaa&cri! t segura c. 0e u=lizar una A'- de Uaa&cri!t
insegura, se deben realizar la codicaci+n o alidaci+n
de las entradas.
,ediante el uso de herramientas automa=zadas se
!ueden iden=car ciertas ulnerabilidades de _&&. &in
embargo, cada a!licaci+n construye las !ginas de
salida de forma diferente y u=liza dis=ntos int=r!retes
en el naegador como Uaa&cri!t, Ac=e_, 1lash o
&ilerlight, dicultando la detecci+n autom=ca. Qna
cobertura com!leta requiere adems de enfoques
autom=cos, una combinaci+n de t=cnicas como la
reisi+n manual de c+digo y de !ruebas de !enetraci+n.

7as tecnologas %eb 3.* como A"a#, hacen que _&& sea
mucho ms
di\cil de detectar mediante herramientas
automa=zadas.
>6e#plos de escenarios de
AtaHues
7a a!licaci+n u=liza datos no conables en la
construcci+n del
siguiente c+digo B(,7 sin alidarlos o codicarlosC
0String1 page RM NAinput na#eMQcreditcardQ
typeMQT>4TW
valueMQN R reHuest&getPara#eter0N""N1 R NQCNS
El atacante modica el !armetro R//T en el
naegadorC
QCAscriptCdocu#ent&loca"onM
QhvpBJJUUU&avacXer&co#JcgiFG$inJcooXie&cgi.
fooMQRdocu#ent&cooXieAJscriptCQ.
Esto causa que el iden=cador de sesi+n de la c=ma
sea eniado al si=o web del atacante, !ermi=endo al
atacante secuestrar la sesi+n actual del usuario.
Notar que los atacantes !ueden tambi=n u=lizar _&&
!ara anular cualquier defensa /&.1 que la a!licaci+n
!ueda u=lizar. Ser AO !ara informaci+n sobre /&.1.
A-
Agentes de
Dectores
de AtaHue

De$ilidade
s

I#pact
os
I#pactos
al negocio
A#ena3a
>specE8co de
>?plota$ilidad Prevalencia Deteccin I#pacto
>specE8co de
Aplicacin
P(OI>DIO I%Y DI'%NDIDA 'A"IL IOD>(ADO
aplicacin J
negocio
/onsidere cualquier El atacante ena _&& es la falla de seguridad El atacante !uede /onsidere el alor
!ersona que !ueda de te#to que son a!licaciones web. $curren cuando una
a!licaci+n,
e"ecutar secuencias
de
negocio del sistema
eniar datos no secuencias de
comandos
en una !gina eniada a un naegador
incluye
comandos en el afectado y de los
datos conables al
sistema,
de ataque que
e#!lotan el
datos suministrados !or un usuario sin
ser
naegador de la
c=ma
que =ste !rocesa.
)"#o prevenirlo.
'reenir _&& requiere mantener los datos no conables
se!arados
del contenido ac=o del naegador.
). 7a o!ci+n !referida es codicar los datos no
conables basados en el conte#to B(,7 <cuer!o,
atributo, Uaa&cri!t, /&&, o Q.7> donde sern
ubicados. 'ara ms detalles sobre t=cnicas de
codicaci+n, consulte la Bo"a de trucos de $%A&'
!ara la
!reenci+n _&&.
3. (ambi=n se recomienda la alidaci+n de entradas
!osi=a o de Rlista blancaT, considerando que esta
t=cnica no es un a defensa com!leta ya que muchas
a!licaciones requieren ace!tar caracteres
es!eciales como !arte de las entradas lidas. 0icha
alidaci+n debe, en la medida de lo !osible, alidar
el largo, los caracteres, el formato y reglas de
negocio que debe cum!lir el dato antes de
ace!tarlo como entrada.
4. 'ara contenido en formato enriquecido, considere
u=lizar bibliotecas de auto sani=zaci+n como
An = &amy de $%A&' o el !royecto sani = zador de
B(,7 en Uaa .
5. /onsidere u=lizar !ol = cas de seguridad de
contenido </&'>
!ara defender contra _&& la totalidad de su si=o.
(eferencias 0en ingl+s1
OWASP
@
$%A&' _&& 'reen=on /heat &heet
@
$%A&' 0$, based _&& 'reen=on /heat &heet
@
$%A&' /ross9:&ite &cri!=ng Ar=cle
@
E&A'- Encoder A'-
@
A&S&C .equerimientos de codicaci+n de salidas <SN>
@
$%A&' An=&amyC Liblioteca de sani=zaci+n
@

(es=ng DuideC 'rimeros tres ca!tulos sobre !ruebas de
la alidaci+n
de datos
@
$%A&' Duia de reisi+n de c+digoC /a!tulo sobre
reisi+n de _&&
@
$%A&' _&& 1ilter Easion /heat &heet
>?ternas
@
/%E Entry 6[ on /ross9:&ite &cri!=ng
A5
(eferencia directa
insegura a o$6etos
Agentes
de
A#ena3
a
>specE8co
de la
Aplicacin
Dectores
de AtaHue

>?plota$ili
dad
'K"IL

De$ilidade
s
de
Seguridad
Prevalen
cia
"OILN

Detecci
n
'K"IL
I#pact
os
T+cnico
s
I#pacto
IOD>(A
DO
I#pacto
s
al
negocio
>specE8co
de la
aplicacinJneg
ocio
/onsidere los =!os
de
usuarios en su
sistema.
bE#isten usuarios
que tengan
2nicamente
acceso !arcial a
determinados
=!os de datos del
sistemac
Qn atacante, como
usuario autorizado en
el sistema,
sim!lemente modica
el alor de un
!armetro que se
reere directamente a
un ob"eto del sistema
!or otro ob"eto !ara
el que el usuario no
se encuentra
autorizado. b&e
concede el accesoc
Normalmente, las a!licaciones u=lizan el
nombre o clae actual de un ob"eto
cuando se generan las !ginas web. 7as
a!licaciones no siem!re erican que el
usuario =ene autorizaci+n sobre el
ob"e=o. Esto resulta en una
ulnerabilidad de referencia de ob"etos
directos inseguros. 7os auditores !ueden
mani!ular fcilmente los alores del
!armetro !ara detectar estas
ulnerabilidades. Qn anlisis de c+digo
muestra r!idamente si la autorizaci+n
se erica correctamente.
0ichas
ulnerabilidades
!ueden
com!rometer toda
la informaci+n que
!ueda ser referida
!or !armetros. A
menos que el
es!acio de nombres
resulte escaso, !ara
un atacante resulta
sencillo acceder a
todos los datos
dis!onibles de ese
=!o.
/onsidere el alor
de negocio de los
datos afectados o
las funciones de la
a!licaci+n
e#!uestas.
(ambi=n considere
el im!acto en el
negocio de la
e#!osici+n !2blica
de
la ulnerabilidad.
)Soy
Dulnera$le.
7a me"or manera de !oder com!robar si una
a!licaci+n es ulnerable a referencias inseguras a
ob"etos es ericar que todas las referencias a
ob"etos =enen las !rotecciones a!ro!iadas. 'ara
conseguir esto, considerarC
). 'ara referencias directas a recursos
restringidos, la a!licaci+n necesitara ericar
si el usuario est autorizado a acceder al recurso
en concreto que solicita.
3. &i la referencia es una referencia indirecta,
la corres!ondencia con la referencia directa debe
ser limitada a alores autorizados !ara el usuario
en concreto.
Qn anlisis del c+digo de la a!licaci+n serira !ara
ericar r!idamente si dichas !ro!uestas se
im!lementan con seguridad. (ambi=n es efec=o
realizar com!robaciones !ara iden=car referencias
a ob"etos directos y si estos son seguros.
Normalmente las herramientas autom=cas no
detectan este =!o de ulnerabilidades !orque
no son ca!aces de reconocer cules necesitan
!rotecci+n o cules son seguros e inseguros.
)"#o prevenirlo.
.equiere seleccionar una forma de !roteger los ob"etos
accesibles
!or cada usuario <iden=cadores de ob"eto, nombres de
chero>C
& %"li3ar referencias indirectas por usuario o sesin&
Esto eitara que los atacantes accedieren
directamente a recursos no autorizados. 'or
e"em!lo, en ez de u=lizar la clae del recurso
de base de datos, se !odra u=lizar una lista de N
recursos que u=lizase los n2meros del ) al N !ara
indicar cul es el alor elegido !or el usuario. 7a
a!licaci+n tendra que realizar la correlaci+n entre
la referencia indirecta con la clae de la base de datos
corres!ondiente en el seridor. E&A'- de $%A&'
incluye relaciones tanto secuenciales como
aleatorias de referencias de acceso que los
desarrolladores !ueden u=lizar !ara eliminar las
referencias directas a ob"etos.
,& "o#pro$ar el acceso& /ada uso de una
referencia directa a un ob"eto de una fuente
que no es de conanza debe incluir una
com!robaci+n de control de acceso !ara
asegurar que el usuario est autorizado a
acceder al ob"eto solicitado.
>6e#plos de escenarios de
ataHues
7a a!licaci+n u=liza datos no ericados en una
llamada &^7 que
accede a informaci+n sobre la cuentaC
String Huery M NS>L>"T O '(OI accts
WP>(> account M .NS PreparedState#ent
pst#t M
connec"on&prepareState#ent0Huery Z [ 1S
pst#t&setString0 Z
reHuest&getpara#eter0NacctN11S
(esultSet results M
pst#t&e?ecute*uery0 1S
&i el atacante modica el !armetro RacctT en su
naegador !ara eniar cualquier n2mero de cuenta que
quiera. &i esta acci+n no es erica, el atacante !odra
acceder a cualquier cuenta de usuario, en ez de a su
cuenta de cliente corres!ondiente.
hvpBJJe?a#ple&co#JappJaccountInfo.
acctMnot#yacct
(eferencias 0en ingl+s1
OWASP
@
$%A&' (o! )*9:3*)4 on -nsecure 0ir $b"ect .eferences
@
E&A'- Access .eference ,a! A'-
@
E&A' - Access /ontrol A'- 0Der isAuthori3ed'orData01Z

isAuthori3ed'or'ile01Z isAuthori3ed'or'unc"on01 1

'ara requisitos adiciones en controles de acceso,
consultar la s ecci+n de requisitos sobre /ontrol
de Acceso de A&S& <S5> .
>?ternas
@
/%E Entry N4[ on -nsecure 0irect $b"ect .eferences
@
/%E Entry 33 on 'ath (raersal 0Hue es un e6e#plo
de ataHue de
referencia a un o$6eto directo1
"on8guracin de
Seguridad
Incorrecta
Agentes
de
A#ena3
a
>specE8co
de la
Aplicacin
Dectores
de AtaHue

>?plota$ili
dad
'K"IL

De$ilidade
s
de
Seguridad
Prevalen
cia
"OILN

Detecci
n
'K"IL
I#pact
os
T+cnico
s
I#pacto
IOD>(A
DO
I#pacto
s
al
negocio
>specE8co
de la
aplicacin J
negocio
/onsidere atacantes
an+nimos e#ternos
as como usuarios
con sus !ro!ias
cuentas que !ueden
intentar
com!rometer el
sistema. (ambi=n
considere !ersonal
interno buscando
enmascarar
sus acciones.
Qn atacante accede a
cuentas !or defecto,
!ginas sin uso,
fallas sin !archear,
archios y directorios
sin !rotecci+n, etc.
!ara obtener acceso
no autorizado o
conocimiento del
sistema.
7as conguraciones de seguridad
incorrectas !ueden ocurrir a cualquier
niel de la a!licaci+n, incluyendo la
!lataforma, seridor web, seridor de
a!licaci+n, base de datos, frameworK, y
c+digo !ersonalizado. 7os
desarrolladores y administradores de
sistema necesitan traba"ar "untos !ara
asegurar que las dis=ntas ca!as estn
conguradas a!ro!iadamente. 7as
herramientas de detacci+n
automa=zadas son 2=les !ara
detectar !arches omi=dos, fallos de
conguraci+n, uso de cuentas !or
defecto, sericios innecesarios, etc.
Estas
ulnerabilidades
frecuentemente
dan a los atacantes
acceso no
autorizado a
algunas
funcionalidades o
datos del sistema.
$casionalmente
!roocan que el
sistema se
com!rometa
totalmente.
El sistema !odra
ser com!letamente
com!rome=do sin
su conocimiento.
(odos sus datos
!odran ser robados
o modicados
lentamente en el
=em!o.
7os costes de
recu!eraci+n
!odran ser altos.
)Soy vulnera$le.
b/uenta su a!licaci+n con el a!ro!iado fortalecimiento
en seguridad
a tra=s de todas las ca!as que la com!onenc
-ncluyendoC
). b(iene alg2n soNware sin actualizarc Esto incluye el
&$, &eridor %ebEA!licaci+n, 0L,&, a!licaciones, y
todas las li$rerEas de cdigo 0ver nuevo A<1&
3. bEstn habilitadas o instaladas alguna
caracters=ca innecesaria <!. e". !uertos, sericios,
!ginas, cuentas, !riilegios>c
4. bEstn las cuentas !or defecto y sus contrase8as
a2n habilitadas
y sin cambiarc
5. b&u mane"o de errores reela rastros de las ca!as
de a!licaci+n u otros mensa"es de error demasiado
informa=os a los usuariosc
P. bEstn las conguraciones de seguridad en su
frameworK de desarrollo <!. e". &truts, &!ring,
A&'.NE(> y libreras sin congurar a alores
segurosc
&in un !roceso re!e=ble y concertado de conguraci+n
de seguridad
!ara las a!licaciones , los sistemas estn en alto riesgo.

>6e#plos de escenarios de
AtaHue
Escenario d) C 7a consola de administrador del seridor
de a!licaciones se instal+ autom=camente y no se ha
eliminado. 7as cuentas !or defecto no se han
modicado. Qn atacante descubre las !ginas !or
defecto de administraci+n que estn en su seridor, se
conecta con las contrase8as !or defecto y lo toma.
Escenario d3 C El listado de directorios no se encuentra
deshabilitado en su seridor. El atacante descubre que
!uede sim!lemente listar directorios !ara encontrar
cualquier archio. El atacante encuentra y descarga
todas sus clases com!iladas de Uaa, las cuales
decom!ila y realiza ingeniera inersa !ara obtener
todo su c+digo fuente. Encuentra un fallo serio de
control de acceso en su a!licaci+n.
Escenario d4 C 7a conguraci+n del seridor de
a!licaciones !ermite que se retornen la !ila de llamada
a los usuarios, e#!oni=ndose !otencialmente a fallos
subyacentes. A los atacantes les encanta que les
!ro!orcionen informaci+n e#tra con los mensa"es de
errores.
Escenario d5 C El seridor de a!licaciones iene con
a!licaciones de e"em!lo que no se eliminaron del
seridor de !roducci+n. 7as a!licaciones de e"em!lo
!ueden !oseer fallos de seguridad bien conocidos
que los atacantes !ueden u=lizar !ara com!rometer
su seridor.
A9
)"#o prevenirlo.
7as recomendaciones !rimarias son el establecimiento
de todo lo
siguienteC
). Qn !roceso r!ido, fcil y re!e=ble de
fortalecimiento !ara obtener un entorno
a!ro!iadamente asegurado. 7os entornos de
0esarrollo, ^A y 'roducci+n deben ser congurados
id=n=camente <con diferentes contrase8as usadas
en cada entorno>. Este !roceso !uede ser
autom=co !ara minimizar el esfuerzo de
congurar un nueo entorno seguro.
3. Qn !roceso !ara mantener y des!legar las nueas
actualizaciones y !arches de soNware de una
manera o!ortuna !ara cada entorno. 0ebe incluir
tambi=n todas las li$rerEas de cdigo 0ver
nuevo A<1&
4. Qna fuerte arquitectura de a!licaci+n que
!ro!orcione una
se!araci+n segura y efec=a entre los
com!onentes.
5. /onsidere e"ecutar escaneos y realizar auditoras
!eri+dicamente !ara ayudar a detectar fallos de
conguraci+n o !arches omi=dos.
(eferencias 0en ingl+s1
OWASP
@
$%A&' 0eelo!ment DuideC /ha!ter on /ongur a= on
@
$%A&' /ode .eiew DuideC /ha!ter on Error Bandling
@
$%A&' (es=ng DuideC /ongura=on ,anagement
@
$%A&' (es=ng DuideC (es=ng for Error /odes
@
$%A&' (o! )* 3**5 9: -nsecure /ongura=on
,anagement 'ara requerimientos adicionales en
este rea, er
A&S& requirements area for &ecurity /ongura=on
<S)3>.
>?ternos
@
'/ ,agazine Ar=cle on %eb &erer Bardening
@
/%E Entry 3 on Enironmental &ecurity 1laws
@
/-& &ecurity /ongura=on DuidesELenchmarKs
A7
>?posicin de datos
sensi$les
Dectores

De$ilidade
s

I#pacto
s
I#pactos
)Soy Dulnera$le.
7o !rimero que debe determinar es el con"unto de datos
sensibles que requerirn !rotecci+n e#tra. 'or e"em!lo,
contrase8as, n2meros de tar"etas de cr=dito, registros
m=dicos, e informaci+n !ersonal deberan !rotegerse.
'ara estos datosC
). b&e almacenan en te#to claro a largo !lazo,
incluyendo sus
res!aldosc
3. b&e transmite en te#to claro, interna o
e#ternamentec El trco
!or -nternet es es!ecialmente !eligroso.
4. b&e u=liza alg2n algoritmo cri!togrco
d=bilEan=ghoc
5. b&e generan claes cri!togrcas d=biles, o falta
una adecuada
rotaci+n o ges=+n de claesc
P. b&e u=lizan tanto cabezales como direc=as de
seguridad del
naegador cuando son eniados o !roistos !or el
mismoc

X ms ... 'or un con"unto com!leto de !roblemas a
eitar, er
A&S& areas /ry!to <S6>, 0 ata 'rot. <S[>, and &&7 <S)*> .

)"#o prevenirlo.
7os riesgos com!letos de u=lizar cifrado de forma no
segura, uso de &&7, y !rotecci+n de datos esca!an al
alcance del (o! )*. 0icho esto, !ara los datos sensibles,
se deben realizar como mnimo lo siguienteC
). /onsidere las amenazas de las cules !roteger
los datos <e"C atacante interno, usuario e#terno>,
aseg2rese de cifrar los datos sensibles
almacenados o en trco de manera de defenderse
de estas amenazas.
3. No almacene datos sensibles innecesariamente.
0escrtelos
a!enas sea !osible. 0atos que no se !oseen no
!ueden ser
robados.
4. Aseg2rese de a!licar algoritmos de cifrado
fuertes y estndar
as como claes fuertes y ges=+nelas de forms
segura.
/onsidere u=lizar m+dulos cri!togrcos alidados
como
1-'& )5*
5. Aseg2rese que las claes se almacenan con un
algoritmo
es!ecialmente dise8ado !ara !rotegerlas como ser
bcry!t,
'Lg013 o scry!t.
P. 0eshabilite el autocom!letar en los formularios
que recolectan
datos sensibles. 0eshabilite tambi=n el cacheado de
!ginas
que contengan datos sensibles.
>6e#plos de escenarios
de AtaHues
Escenario d)C Qna a!licaci+n cifra los n2meros de
tar"etas de cr=dito en una base de datos u=lizando
cifrado autom=co de la base de datos. Esto
signica que tambi=n se descifra estos datos
autom=camente cuando se recu!eran,
!ermi=endo !or medio de una debilidad de
inyecci+n de &^7 recu!erar n2meros de tar"etas en
te#to claro. El sistema debera cifrar dichos n2mero
usando una clae !2blica, y !ermi=r solamente a las
a!licaciones de bacK9:end descifrarlo con la clae !riada.
Escenario d3C Qn si=o sim!lemente no u=liza &&7
!ara todas sus !ginas que requieren auten=caci+n.
Agentes
de
A#ena3
de AtaHue de Seguridad
T+cnicos
al negocio
>specE8co
de la
Aplicaci
>?plota$ilid
ad
DI'\"IL
Prevalencia
Deteccin NO "OILN
P(OI>DIO
I#pacto
S>D>(
O
>specE8co de
la
AplicacinJNeg
/onsidere qui=n 7os atacantes 7a debilidad ms com2n es sim!lemente 7os fallos /onsidere el alor
obtener acceso a
sus
no quiebran la
cri!togra\a
datos sensibles. /uando se em!lea
cifrado, es
frecuentemente negocio de la
!=rdida de
datos sensibles y de forma directa, sino
algo
com2n detectar generaci+n y ges=+n
d=biles de
com!rometen todos
los
datos y el im!acto a
su cualquier res!aldo
de
ms como robar
claes,
claes, el uso de algoritmos d=biles, y datos que deberan
estar
re!utaci+n. b/ul su

=stos. Esto incluye
los
realizar ataques Rman
in
!ar=cularmente t=cnicas d=biles de
hashing de
!rotegidos.
(!icamente,
res!onsabilidad
legal si
datos almacenados,
en
the middleT, robar
datos
contrase8as. 7as debilidades a niel del
naegador
esta informaci+n
incluye
estos datos son
trnsito, e inclusie
en el
en te#to claro del
seridor,
son muy comunes y fciles de detectar,
!ero
datos sensibles como
ser
e#!uestosc (ambi=n

naegador del
cliente.
mientras se
encuentran en
di\ciles de e#!lotar a gran escala.
Atacantes
registros m=dicos, considere el da8o a
la
-ncluye tanto
amenazas
trnsito, o del
naegador
e#ternos encuentran dicultades
detectando
credenciales, datos re!utaci+n.
internas y e#ternas. del usuario. debilidades en a niel de seridor dado el
acceso
!ersonales, tar"etas
de
limitado y que son usualmente di\ciles de
e#!lotar.
cr=dito, etc.
El atacante monitorea el trco en la red <como ser una
red inalmbrica abierta>, y ob=ene la cooKie de
sesi+n del usuario. El atacante reena la cooKie y
secuestra la sesi+n, accediendo los datos !riados del
usuario.
Escenario d4C 7a base de datos de claes usa hashes
sin salt !ara almacenar las claes. Qna falla en una
subida de archio !ermite a un atacante obtener
el archio de claes. (odas las claes !ueden
ser e#!uestas mediante una tabla rainbow de hashes
!recalculados.
(eferencias
OWASP
'ara un con"unto com!leto de
requerimientos, er ASDS reH]s on
"ryptography 0D:1Z Data Protec"on 0D<1
y "o##unica"ons Security 0D!1
@$%A&' /ry!togra!hic &torage /heat &heet
@$%A&' 'assword &torage /heat &heet
@$%A&' (rans!ort 7ayer 'rotec = on /heat &heet
@$%A&' (es=ng DuideC /ha!ter on &&7E(7& (es=ng
>?ternas
@/ /%E Entry 4)* on /ry!togra!hic -ssues
@/ /%E Entry 4)3 on /learte#t &torage of &ensi=e
-nform a= on
@/ /%E Entry 4)[ on /learte#t (ransmission of &ensi=e
-nform a= on
@/ /%E Entry 43N on %eaK Encry !=on

Ine?istente "ontrol de
Acceso
a nivel de funcionalidades
Dectores

De$ilidade
s

I#pacto
s
I#pactos
la red !uede eniar
una
!e=ci+n a su
a!licaci+n.
bQn usuario
an+nimo !odra
acceder a una
funcionalidad
!riada o un usuario
normal acceder a
una funci+n que
requiere !riilegiosc

usuario leg=mo en
el sistema,
sim!lemente cambia
la Q.7 o un
!armetro a una
funci+n con
!riilegios. b&e le
concede accesoc
Qsuarios an+nimos
!odran acceder a
funcionalidades
!riadas que no
est=n !rotegidas.
!rotecci+n a niel de funcionalidad se
administra !or medio de una
conguraci+n, y el sistema est mal
congurado. $tras eces los
!rogramadores deben incluir un
adecuado chequeo !or c+digo, y se
olidan.
7a detecci+n de este =!o de
ulnerailidad es sencillo. 7a !arte ms
com!le"a es iden=car qu= !ginas
<Q.7s> o funcionalidades atacables
e#isten.
!ermiten el acceso
no autorizado de los
atacantes a
funciones del
sistema.
7as funciones
administra=as
son un ob"e=o
clae de este
=!o de ataques.
funciones e#!uestas
y los
datos que =stas
!rocesan. Adems,
considere el im!acto
a su re!utaci+n si
esta ulnerabilidad
se hiciera !2blica.
)Soy vulnera$le.
7a me"or manera de determinar si una a!licaci+n falla
en restringir adecuadamente el acceso a niel de
funcionalidades es ericar cada funcionalidad de la
a!licaci+nC
). b7a interfaz de usuario <Q-> muestra la naegaci+n
hacia
funcionalidades no autorizadasc
3. bE#iste auten=caci+n del lado del seridor, o se
han !erdido las
com!robaciones de autorizaci+nc
4. b7os controles del lado del seridor se basan
e#clusiamente
en la informaci+n !ro!orcionada !or el atacantec
Qsando un !ro#y, naegue su a!licaci+n con un rol
!riilegiado. 7uego isite reiteradamente !ginas
restringidas usando un rol con menos !riilegios. &i el
seridor res!onde a ambos !or igual, !robablemente
es ulnerable. Algunas !ruebas de !ro#ies a!oyan
directamente este =!o de anlisis.
(ambi=n !uede reisar la im!lementaci+n del control
de acceso en el c+digo. -ntente seguir una solicitud
unitaria y con !riilegios a tra=s del c+digo y erique
el !atr+n de autorizaci+n. 7uego busque en el c+digo
!ara detectar donde no se est siguiendo ese !atr+n .
7as herramientas automa=zadas no suelen encontrar
estos
!roblemas.
>6e#plos de >scenarios de
AtaHue
Escenario d)C El atacante sim!lemente fuerza la
naegaci+n hacia las Q.7s ob"e=o. 7a siguiente Q.7s
requiere auten=caci+n. 7os
derechos de administrador tambi=n son requeridos
!ara el acceso a
la !gina Radminigeta!!-nfoT.
hvpBJJe?a#ple&co#JappJgetappInfo
h v pBJJe?a#ple&co#JappJad#in^getappInfo
&i un usuario no auten=cado !uede acceder a ambas
!ginas, eso es una ulnerabilidad. &i un usuario
auten=cado, no administrador, !uede acceder a
Radminigeta!!-nfoT, tambi=n es una ulnerabilidad, y
!odra llear al atacante a ms !ginas de
administraci+n !rotegidas inadecuadamente.

Escenario d3C Qna !gina !ro!orciona un !armetro
de Racci+nT !ara es!ecicar la funci+n que ha sido
inocada, y diferentes acciones requieren diferentes
roles. &i estos roles no se erican al inocar la
acci+n, es una ulnerabilidad
A:
Agentes de
de AtaHue de
Seguridad
T+cnicos
al negocio
A#ena3a
>specE8co de
>?plota$ilidad Prevalencia Deteccin I#pacto
>specE8co de
Aplicacin
'K"IL

"OILN P(OI>DIO IOD>(ADO
aplicacinJneg
ocio
/ualquiera con
acceso a
El atacante, que es un

7as a!licaciones no
siem!re !rot
egen las
e. En ocasiones
Estas
ulnerabilidades
/onsidere el alor
!ara
)"#o prevenirlo.
7a a!licaci+n debera tener un m+dulo de autorizaci+n
consistente y fcil de analizar, inocado desde todas
las funciones de negocio. 1recuentemente, esa
!rotecci+n es !roista !or uno o ms com!onentes
e#ternos al c+digo de la a!licaci+n.
). El !roceso !ara ges=+n de accesos y !ermisos
debera ser actualizable y auditable
fcilmente. No lo im!lemente directamente en
el c+digo sin u=lizar !arametrizaciones.
3. 7a im!lementaci+n del mecanismo debera negar
todo acceso !or defecto, requiriendo el
establecimiento e#!lcito de !ermisos a roles
es!eccos !ara acceder a cada funcionalidad.
4. &i la funcionalidad forma !arte de un worK]ow,
erique y aseg2ese que las condiciones del
]u"o se encuentren en el estado a!ro!iado !ara
!ermi=r el acceso.
N$(AC 7a mayora de las a!licaciones web no
des!liegan linKs o botones !ara funciones no
autorizadas, !ero en la !rc=ca el Rcontrol de acceso
de la ca!a de !resentaci+nT no !roee !rotecci+n. Qd.
debera im!lementar chequeos en los controladores yEo
l+gicas de negocios.

(eferencias 0en ingl+s1
OWASP
@
$%A&' (o! )*9:3**6 on 1ailure to .estrict Q.7 Access
@
E&A' - Access /ontrol A'-
@
$%A&' 0eelo!ment DuideC /ha!ter on Authori za= on
@
$%A&' (es=ng DuideC (es=ng for 'ath (raersal
@
$%A&' Ar=cle on 1orced Lrowsing
'ara requerimientos de control de acceso
adicionales, er A&S& requirements area for
Access /ontrol <S5>.

>?ternos
@
/%E Entry 3OP on -m!ro!er Access /ontrol
<Authoriza=on>
'alsi8cacin de Pe"ciones
en Si"os "ru3ados
0"S('1
Agentes
de
A#ena3
a
>specE8co
de la
Aplicacin
Dectores
de AtaHue

>?plota$ili
dad
P(OI>DI
O

De$ilidade
s
de
Seguridad
Prevalen
cia
"OILN

Detecci
n
'K"IL
I#pact
os
T+cnico
s
I#pacto
IOD>(A
DO
I#pacto
s
al
negocio
>specE8co
de la
aplicacinJneg
ocio
/onsidere cualquier
!ersona que !ueda
cargar contenido en
los naegadores de
los usuarios, y as
obligarlos a
!resentar una
solicitud !ara su
si=o web.
El atacante crea !e=ciones
/&.1 a!roecha el hecho que la mayora de las
7os
atacantes !ueden
B((' falsicadas y enga8a
a!licaciones web !ermiten a los
atacantes !redecir
cambiar cualquier dato
a la ic=ma mediante el
todos los
detalles de una acci+n en !ar=cular.
que la c=ma est=
eno de e= queta s de
0ado que los naegadores enan credenciales
autorizada a cambiar, o a
como cooKies de sesi+n de forma
autom=ca, los
atacantes !ueden crear !ginas web
maliciosas
t=cnicas. &i el usuario est
que generan !e=ciones falsicadas que son
funcionalidad donde est=
auten=cad o, el a t a que
indis=nguibles de las leg=mas. 7a detecci+n de
autorizada, incluyendo
/onsiderar el alor
de negocio asociado
a los datos o
funciones afectados.
(ener en cuenta lo
que re!resenta no
estar seguro si los
usuarios en realidad
/ualquier si=o
web o
=ene
=#ito.
fallos de =!o /&.1 es bastante fcil a tra=s de
registro, cambios de
desean realizar
dichas
canal B(,7 que
el
usuario acceda
!uede realizar
este =!o de
ataque.
!ruebas de !enetraci+n o de anlisis
de c+digo.
estado o cierre de
sesi+n.
acciones. /onsiderar
el
im!acto que =ene
en la re!utaci+n de
su negocio.
)Soy vulnera$le.
'ara conocer si una a!licaci+n es ulnerable, erique la
ausencia de un toKen im!redecible en cada enlace y
formulario. En dicho caso, un atacante !uede falsicar
!e=ciones maliciosas. Qna defensa alterna=a !uede
ser la de requerir que el usuario demuestre su intenci+n
de eniar la solicitud, ya sea a tra=s de la re9:
auten=caci+n, o mediante cualquier otra !rueba que
demuestre que
se trata de un usuario real <!or e"em!lo, un /A'(/BA>.

/=ntrese en los enlaces y formularios que inoquen
funciones que !ermitan cambios de estados, ya que
=stos son los ob"e=os ms im!ortantes del /&.1.
0eben ericarse las o!eraciones de m2l=!les !asos,
ya que no son inmunes a este =!o de ataque. 7os
atacantes !ueden falsicar fcilmente una serie de
solicitudes mediante el uso de e=quetas o incluso de
c+digo Uaascri!t.
(enga en cuenta que las cooKies de sesi+n, direcciones
-' de origen, as como otra informaci+n eniada
autom=camente !or el naegador no !roeen
ninguna defensa ya que esta informaci+n tambi=n se
incluye en las solicitudes de falsicadas.
7a herramienta de !ruebas /&.1 </&.1 (ester> de
$%A&' !uede ayudar a generar casos de !rueba que
ayuden a demostrar los da8os y !eligros de los fallos de
=!o /&.1.
>6e#plos de >scenarios de
AtaHue
7a a!licaci+n !ermite al usuario eniar una !e=ci+n de
cambio de
estado no incluya nada secreto. 'or e"em!loC
hvpBJJe?a#ple&co#JappJtransfer'unds.
a#ountM9!!_des"na"onAccountM57:-,5-,5-
0e esta forma, el atacante construye una !e=ci+n que
transferir el dinero de la cuenta de la c=ma hacia
su cuenta. &eguidamente, el atacante inserta su
ataque en una e=queta de imagen o iframe
almacenado en arios si=os controlados !or =l de la
siguiente formaC
Ai#g
srcMNhvpBJJe?a#ple&co#JappJtransfer'unds.
a#ountM9!!_des"na"onAccountMavacXers
Acct`T UidthMN!N heightMN!N JC
&i la c=ma isita alguno de los si=os controlados
!or el atacante, estando ya auten=cado en
e#am!le.com, estas !e=ciones falsicadas incluirn
autom=camente la informaci+n de la sesi+n del
usuario, autorizando la !e=ci+n del atacante.
A@
imgenes, _&& u otras
)"#o prevenirlo.
7a !reenci+n /&.1 !or lo general requiere la inclusi+n
de un toKen no !redecible en cada solicitud B(('. Estos
toKens deben ser, como mnimo, 2nicos !or cada
sesi+n del usuario.
). 7a o!ci+n !referida es incluir el toKen 2nico en
un cam!o oculto. Esto hace que el alor de dicho
cam!o se ene en el cuer!o de la solicitud
B((', eitando su inclusi+n en la Q.7, su"eta a
mayor e#!osici+n.
3. El toKen 2nico tambi=n !uede ser incluido en la
!ro!ia Q.7, o un !armetro de la misma. &in
embargo, esta !rc=ca !resenta el riesgo e
inconeniente de que la Q.7 sea e#!uesta a un
atacante, y !or lo tanto, !ueda com!rometer el
toKen secreto.
/&.1 Duard de $%A&' !uede incluir
autom=camente los toKens secretos en Uaa EE,.
NE(, a!licaciones 'B'. 'or otro lado, E&A'- de $%A&'
incluye tambi=n m=todos !ara que los desarrolladores
!uedan u=lizar con tal eitar este =!o de
ulnerabilidades.
4. .equiera que el usuario uela a auten=carse, o
!ruebas que se trata de un usuario legi=mo <!or
e"em!lo mediante el uso de /A'(/BA> !ueden
tambi=n !roteger frente ataques de =!o /&.1.
(eferencias
OWASP

$%A&' /&.1 Ar = cle

$%A&' /&.1 'reen = on /he at &heet

$%A&' /&.1Duard 9: /&.1 0efense (ool

E&A' - 'ro"ec t Bome 'age

E&A'- B(('Q=li=es /lass with An=/&.1 (oKens

$%A&' (es = ng DuideC /ha!ter on /&.1 (es = ng

$%A&' /&.1(ester 9: /&.1 (es=ng (ool

>?ternos

/%E Entry 4P3 on /&.1

%so de
"o#ponentes con
Dulnera$ilidades
"onocidas
Agentes
de
Dectores

de
AtaHue

De$ilidade
s
de
Seguridad

I#pact
os
T+cnic
os
I#pactos
al negocio
A<
A#ena3a
>specE8co
de la
Aplicaci
>?plota$ilid
ad
P(OI>DI
Prevalencia
Detecta$ilidad DI'%NDIDO
DI'\"IL
I#pacto
IOD>(A
DO
>specE8co
de la
aplicacin J
Algunos
com!onentes
El atacante iden=ca
un
Sirtualmente cualquier a!licaci+n =ene
este =!o
El rango com!leto
de
/onsidere qu= !uede

frameworKs> !ueden
ser
iden=cados y
de escaneos
autom=cos o
anlisis manuales.
equi!os de desarrollo no se enfocan en
asegurar
que sus com!onentes E bibiliotecas se
inyecci+n, control de

acceso roto, _&&,
ulnerabilidad !ara
el
negocio controlado
e#!lotados con e#!loit como lo
necesita y
actualizadas. En muchos casos, los
desarrolladores
im!acto !uede ser
desde
la a!licaci+n
afectada.
herramientas
automa=zadas,
e"ecuta el ataque. &e
hace
ms di\cil si el
no conocen todos los com!onentes que
u=lizan, y
menos sus ersiones. 0e!endencias
mnimo hasta
a!oderamiento
com!leto
'uede ser triial o
!uede
signicar
aumentando las
o!ciones de la
amenaza
com!onente es
am!liamente
u=lizado en
com!onentes dicultan incluso ms el
!roblema.
del equi!o y
com!romiso
de los datos.
com!leto.
ms all del
ob"e=o
atacado.
la a!licaci+n.
)Soy Dulnera$le.
En teora, debiera ser fcil dis=nguir si estas usando un
com!onente o biblioteca ulnerable.
0esafortunadamente, los re!ortes de ulnerabilidades
!ara soNware comercial o de c+digo abierto no siem!re
es!ecica e#actamente que ersi+n de un com!onente
es ulnerable en un estndar, de forma accesible. ,s
a2n, no todas las bibliotecas usan un sistema num=rico
de ersiones entendible. X lo !eor de todo, no todas las
ulnerabilidades son re!ortadas a un centro de
intercambio fcil de buscar, &i=os como /SE y NS0 se
estn oliendo fciles de buscar.
'ara determinar si es ulnerable necesita buscar en
estas bases de datos, as como tambi=n mantenerse al
tanto de la lista de correos del !royecto y anuncios de
cualquier cosa que !ueda ser una ulnerabilidad, si
uno de sus com!onentes =ene una ulnerabilidad,
debe ealuar cuidadosamente si es o no ulnerable
reisando si su c+digo u=liza la !arte del com!onente
ulnerable y si el fallo !uede resultar en un im!acto
del cual cuidarse.
)"#o prevenirlo.
Qna o!ci+n es no usar com!onentes que no ha
codicado. 'ero eso no es realista. 7a mayora de los
!royectos de com!onentes no crean !arches de
ulnerabilidades de las ersiones ms an=guas. A
cambio, la mayora sencillamente corrige el !roblema
en la ersi+n siguiente. 'or lo tanto, actualizar a esta
nuea ersi+n es cr=co. 'royectos de soNware
debieran tener un !roceso !araC
). -den=car todos los com!onentes y la ersi+n que
estn
ocu!ando, incluyendo de!endencias <e"C El !lugin
de ersi+n>.
3. .eisar la seguridad del com!onente en bases
de datos !2blicas, lista de correos del
!royecto, y lista de correo de seguridad, y
mantenerlos actualizados.
4. Establecer !ol=cas de seguridad que regulen el
uso de com!onentes, como requerir ciertas
!rc=cas en el desarrollo de soNware, !asar test
de seguridad, y licencias ace!tables.
5. &era a!ro!iado, considerar agregar ca!as de
seguridad alrededor del com!onente !ara
deshabilitar funcionalidades no u=lizadas yEo
asegurar as!ectos d=biles o ulnerables del
com!onente.
>6e#plos de >scenarios de
AtaHues
7os com!onentes ulnerables !ueden causar casi
cualquier =!o de riesgo imaginable, desde triial a
malware sos=cado dise8ado !ara un ob"e=o
es!ecco. /asi siem!re los com!onentes =enen todos
los !riilegios de la a!licaci+n, debido a esto cualquier
falla en un com!onente !uede ser serio, 7os siguientes
com!onentes ulnerables fueron descargados 33, de
eces en el 3*)).
A!ache /_1 Authen = c a= on Ly!ass 9: 0ebido a que
no otorgaba un toKen de iden=dad, los atacantes
!odan inocar cualquier sericio web con todos los
!ermisos.<A!ache /_1 es un frameworK de sericios,
no confundir con el seridor de a!licaciones de
A!ache.>

&!ring .emote /ode E#ecu=on J El abuso
de la im!lementaci+n
(eferencias
OWASP
$%A&' 0e!endency /hecK <for Uaa libraries>
$%A&' &afeNuDet <for .NE( libraries thru NuDet>
Dood /om!onent 'rac=ces 'ro"ect

>?ternas
@
7 a desafortunad a realidad de bibliotecas inseguras
@
&eguridad del so N ware de c+digo abierto
@ gregando !reocu!aci+n !or la seguridad en
com!onentes de
en &!ring del com!onente RE#!ression 7angua"eT
!ermi=+ a los atacantes e"ecutar c+digo arbitrario,
tomando el control del seridor. /ualquier
a!licaci+n que u=lice cualquiera de esas
bibliotecas ulnerables es susce!=ble de ataques.
Ambos com!onentes son directamente accesibles !or
el usuario de la a!licaci+n. $tras bibliotecas
ulnerables, usadas am!liamente en una a!licaci+n,
!uede ser mas di\ciles de e#!lotar.
c+digo abierto
@
,-(.E Sulnerabilidades comunes y e#!osici+n
@
E"em!lo de asignaci+n de ulnerabilidades
corregidas en Ac=e.ecord, de .uby on .ails3
A!
(edirecciones y reenvEos no
v;lidos
Agentes
de
A#ena3
a
>specE8co
de la
Aplicacin
Dectores
de AtaHue

>?plota$ili
dad
P(OI>DI
O

De$ilidade
s
de
Seguridad
Prevalenc
ia PO"O
"OILN
Detecci
n
'K"IL
I#pact
os
T+cnico
s
I#pacto
IOD>(A
DO
I#pacto
s
al
negocio
>specE8co de la
Aplicacin J
Negocio
/onsidere la
!robabilidad de que
alguien !ueda
enga8ar a los
usuarios a eniar una
!e=ci+n a su
Qn atacante crea
enlaces a
redirecciones no
alidadas y enga8a a
las c=mas
!ara que hagan
clic en
/on frecuencia, las a!licaciones
redirigen a los usuarios a otras !ginas,
o u=lizan des=nos internos de forma
similar. Algunas eces la !gina de
des=no se es!ecica en un !armetro
no
Estas redirecciones
!ueden intentar
instalar c+digo
malicioso o enga8ar
a las c=mas
/onsidere el alor
de negocio de
conserar la
conanza de sus
usuarios.
a!licaci+n web. /ualquier dichos
enlaces. 7as
alidado, !ermi=endo a los atacantes
elegir dicha
!ara que
reelen
b^u= !asara si sus
a!licaci+n o c+digo
B(,7
al que acceden sus
c=mas son
ms
!ro!ensas a
hacer clic
!gina.
0etectar redirecciones sin alidar es
fcil. &e trata
contrase8as u otra

informaci+n
sensible. El
usuarios son
infectados
con c+digo
maliciosoc
usuarios !odra
realizar
sobre ellos ya que el enlace
de buscar redirecciones donde
el usuario !uede
uso de
reenos
b^u= ocurrira si los
este
enga8o
llea a una
a!licaci+n de
conanza. El
atacante
=ene como ob"e=o
los
des=nos inseguros
!ara eadir los
controles de
seguridad.
establecer la direcci+n Q.7 com!leta.
Sericar reenos sin alidar resulta ms
com!licado ya que a!untan a !ginas
internas.
inseguros !uede
!ermi=r
eadir el control de
acceso.
atacantes !udieran
acceder a funciones
que s+lo debieran
estar dis!onibles de
forma internac
)Soy vulnera$le.
7a me"or forma de determinar si una a!licaci+n dis!one
de
redirecciones y re9:enos no alidados, es C
). .eisar el c+digo !ara detectar el uso de
redirecciones o reenos <llamados transferencias
en .NE(>. 'ara cada uso, iden=car si la Q.7
ob"e=o se incluye en el alor de alg2n
!armetro. &i es as, si la Q.7 ob"e=o no es
alidada con una lista blanca, usted es
ulnerable..
3. Adems, recorrer la a!licaci+n !ara obserar si
genera cualquier redirecci+n <c+digos de res!uesta
B((' 4**9:4*6, j!icamente 4*3>. Analizar los
!armetros facilitados antes de la redirecci+n !ara
er si !arecen ser una Q.7 de des=no o un recurso
de dicha Q.7. &i es as, modicar la Q.7 de des=no
y obserar si la a!licaci+n redirige al nueo
des=no.
4. &i el c+digo no se encuentra dis!onible, se deben
analizar todos los !armetros !ara er si forman
!arte de una redirecci+n o reeno de una Q.7 de
des=no y !robar lo que hacen estos.
>6e#plos de >scenarios de
AtaHue
Escenario d) C 7a a!licaci+n =ene una !gina llamada
Rredirect."s!T que recibe un 2nico !armetro llamado
RurlT. El atacante com!one una Q.7 maliciosa que
redirige a los usuarios a una a!licaci+n que realiza
!hishing e instala c+digo malicioso.
hvpBJJUUU&e?a#ple&co#Jredirect&6sp.
urlMevil&co#
Escenario d3 C 7a a!licaci+n u=liza reenos !ara
redirigir !e=ciones entre dis=ntas !artes de la
a!licaci+n. 'ara facilitar esto, algunas !ginas
u=lizan un !armetro !ara indicar donde debera ser
dirigido el usuario si la transacci+n es sa=sfactoria.
En este caso, el atacante com!one una Q.7 que
eadir el control de acceso de la a!licaci+n y llear
al atacante a una funci+n de administraci+n a la que
en una situaci+n habitual no debera tener acceso.
hvpBJJUUU&e?a#ple&co#J$oring&6sp.
fUdMad#in&6sp

)"#o prevenirlo.
El uso seguro de reenos y redirecciones !uede
realizarse de arias
manerasC
). &im!lemente eitando el uso de redirecciones y
reenos.
3. &i se u=liza, no inolucrar !armetros
mani!ulables !or el usuario !ara denir el
des=no. Deneralmente, esto !uede realizarse.

4. &i los !armetros de des=no no !ueden ser
eitados, aseg2rese que el alor suministrado sea
v;lido y autori3ado !ara el usuario.
&e recomienda que el alor de cua-quier !armetro
de des=no sea un alor de ma!eo, el lugar de la
direcci+n Q.7 real o una !orci+n de esta y en el
c+digo del seridor traducir dicho alor a la
direcci+n Q.7 de des=no. 7as a!licaciones !ueden
u=lizar E&A'- !ara sobreescribir el m=todo
send.edirect<> y asegurarse que todos los des=nos
redirigidos son seguros.
Eitar estos !roblemas resulta e#tremadamente
im!ortante ya que son un blanco !referido !or los
!hishers que intentan ganarse la conanza de los
usuarios.
(eferencias
OWASP
@
$%A&' Ar=cle on $!en .edirects
@
E&A'- &ecurity%ra!!er.es!onse send.edirect<> method

>?ternas
@
/%E Entry N*) on $!en .edirects
@
%A&/ Ar=cle on Q.7 .edirector Abuse
@
Doogle blog ar=cle on the dangers of o!en redirects
@

$%A&' (o! )* for .NE( ar=cle on Qnalidated .edirects
and
1orwards
>sta$le3ca y %"lice Procesos de Seguridad (epe"$les y "ontroles
>st;ndar de Seguridad
(anto si usted es nueo en el cam!o de la seguridad en a!licaciones web como si ya se encuentra familiarizado
con estos riesgos, la tarea de !roducir una a!licaci+n web segura o corregir una ya e#istente !uede ser di\cil. &i
debe ges=onar un gran n2mero de a!licaciones, !uede resultar desalentador.

'ara ayudar a las organizaciones y desarrolladores a reducir los riesgos de seguridad de sus a!licaciones de un
modo rentable, $%A&' ha !roducido un gran n2mero de recursos gratuitos y abiertos , que los !uede usar !ara
ges=onar la seguridad de las a!licaciones en su organizaci+n. A con=nuaci+n, se muestran algunos de los
muchos recursos que $%A&' ha !roducido !ara ayudar a las organizaciones a
generar a!licaciones web seguras. En la siguiente !gina, !resentamos recursos adiciones de $%A&' que !ueden
ayudar a las organizaciones a
ericar la seguridad de sus a!licaciones.



































(eHuisitos
de
Seguridad
en
Aplicacion
es
ArHuitect
ura de
seguridad
en
aplicacio
nes
"ontroles
de
Segurida
d
>st;ndar
"iclo de
vida de
desarrollo
seguro
>ducacin
de la
Seguridad
en
Aplicacion
es
'ara !roducir a!licaciones web seguras, debe denir qu= signica seguro !ara esa
a!licaci+n. $%A&' recomienda usar Estndar de Sericaci+n de &eguridad en
A!licaciones <A&S&> $%A&' como una gua !ara a"ustar los requisitos de seguridad de
su<s> a!licaci+n<es>. &i est e#ternalizando, considere el Ane#oC /ontrato de &oNware
&eguro.
Es mucho ms rentable dise8ar la seguridad desde el !rinci!io que a8adir seguridad
a su<s> a!licaci+n<es>. $%A&' recomienda la Du a de 0esarrollo $%A&' , y las ho"as
de !reenci+n de tram!as $%A&' como !untos de inicio +!=mos !ara guiarlo en el
dise8o de la seguridad.
/onstruir controles de seguridad fuertes y u=lizables es e#ce!cionalmente di\cil. Qn
con"unto de controles estndar de seguridad sim!lican radicalmente el desarrollo de
a!licaciones seguras. $%A&' recomienda el !royecto Enter!rise &ecurity A' - <E&A'->
como un modelo !ara las A'-s de seguridad necesarias !ara !roducir a!licaciones web
seguras. E&A'- !ro!orciona im!lementaciones de referencia en Uaa, .NE(, 'B',
/lassic A&', 'ython, y /old 1usion.
'ara me"orar el !roceso que su organizaci+n u=liza al construir a!licaciones, $%A&'
recomienda el
,odelo de Daranja de la ,adurez del &oNware $%A&' &oNware Assurance ,aturity ,odel
<&A,,>. Este
modelo ayuda a las organizaciones a formular e im!lementar estrategias !ara el soNware
seguro ada!tado a
los riesgos es!eccos !ara su organizaci+n.
El !royecto educacional $%A&' !ro!orciona materiales de formaci+n !ara ayudar a
educar desarrolladores en seguridad en a!licaciones web, y ha com!ilado una gran
n2mero de !resentaciones educa=as. 'ara una formaci+n !rc=ca acerca de
ulnerabilidades, !ruebe los !royectos $%A&' %ebDoat, %ebDoat.net, o el $%A&'
LroKen %eb A!!lica=on 'ro"ect. 'ara mantenerse al da, acuda a una /onferencia
A!!&ec $%A&',
/onferencia de Entrenamiento $%A&' o a reuniones de los ca!tulos $%A&' locales.
R
*u+ #;s hay para
Bay un gran n2mero de recursos adicionales $%A&' !ara su uso. Sisite !or faor la 'gin a de 'royectos $%A&' ,
que lista todos los !royectos de $%A&', organizados !or la calidad de la distribuci+n de cada !royecto <Sersi+n
1inal, Leta, o Alfa>. 7a mayora de recursos de $%A&' estn dis!onibles en nuestro wiKi, y muchos otros
documentos del $%A&' se !ueden encargar tanto en co!ia \sica como en eLooKs.
R
*u+ #;s hay para
RD
Pr?i#os pasos para
Testers
OrganEcese
'ara ericar la seguridad de una a!licaci+n web que ha desarrollado, o que est considerando com!rar,
$%A&' recomienda
que reise el c+digo de la a!licaci+n <si est dis!onible>, y tambi=n ealuar la a!licaci+n. $%A&'
recomienda una combinaci+n de
anlisis de seguridad de c+digo y !ruebas de intrusi+n siem!re que sean !osibles, ya que le !ermita
a!roechar las fortalezas de
ambas t=cnicas, y adems los dos enfoques se com!lementan entre s. 7as herramientas !ara ayudar en
el !roceso de
ericaci+n !ueden me"orar la eciencia y efec=idad de un analista e#!erto. 7as herramientas de
ealuaci+n de $%A&' estn
enfocadas en ayudar a un e#!erto en ser ms ecaz, ms que en tratar de automa=zar el !roceso de
anlisis.

"#o estandari3ar la veri8cacin de seguridad de las aplicacionesB 'ara ayudar a las
organizaciones a desarrollar c+digo de
forma consistente y con un niel denido de rigor, al momento de ealuar la seguridad de las
a!licaciones web, $%A&' ha
!roducido los estndares de ericaci+n <A&S&> de seguridad en a!licaciones. Este documento dene un
estndar de ericaci+n
mnimo !ara realizar !ruebas de seguridad en a!licaciones web. $%A&' le recomienda u=lizar los A&S&
como orientaci+n no
solamente !ara ericar la seguridad de una a!licaci+n web, sino tambi=n !ara ealuar que t=cnicas son
ms adecuadas , y !ara
ayudarle a denir y seleccionar un niel de rigor en la com!robaci+n de seguridad de una a!licaci+n
web. $%A&' le recomienda
tambi=n u=lizar los A&S& !ara ayudar a denir y seleccionar cualquiera de los sericios de ealuaci+n
de a!licaciones web que
!uede obtener de un !roeedor e#terno.

Suite de Perra#ientas de >valuacinB El $%A&' 7ie /0 'ro"ec t ha reunido algunas de las me"ores
herramientas de seguridad de
c+digo abierto en un 2nico sistema de arranque. 7os desarrolladores %eb, analistas y !rofesionales de
seguridad !ueden
arrancar desde este 7ie /0 y tener acceso inmediato a una suite de !ruebas de seguridad com!leta. No
se requiere instalaci+n o
conguraci+n !ara u=lizar las herramientas !ro!orcionadas en este /0.

(evisin de
"digo
Analizar el c+digo fuente es la manera ms s+lida
!ara ericar si una a!licaci+n es segura. .ealizar
tests sobre una a!licaci+n s+lo !uede demostrar
que una a!licaci+n es insegura.

(evisin de "digoB /omo un
a8adido a la
Dua del 0esarrollador $%A&', y la Dua
de 'ruebas, $%A&'
ha !roducido la Dua de .eisi+n de /+digo
!ara ayudar a los
desarrolladores y es!ecialistas en
a!licaciones de seguridad a
com!render c+mo reisar la seguridad de
una a!licaci+n web
de modo ecaz y eciente mediante la reisi+n
del c+digo.
E#isten numerosos !roblemas de seguridad de
a!licaci+n web,
como los errores de inyecci+n, que son
mucho ms fciles de
encontrar a tra=s de reisi+n de c+digo,
que mediante
!ruebas
e#ternas..

Perra#ientas de revisin de cdigoB
$%A&' ha estado
haciendo algunos traba"os !rometedores en el
rea de ayudar
a los e#!ertos en la realizaci+n de anlisis de
c+digo, !ero
estas herramientas se encuentran a2n en
sus !rimeras fases.
7os autores de estas herramientas las em!lean
a diario !ara
realizar sus reisiones de c+digo de
seguridad, !ero los
usuarios no e#!ertos !ueden encontrar estas
herramientas un
!oco di\ciles de usar. Estas
herramientas incluyen
/ode/rawler, $rizon, y $3. &olamente $3 se ha
mantenido
como !royecto ac=o desde el (o! )* 3*)*.
E#isten otras
herrmientas como 1indLugs con su !lugin
1ind&ecurityLugs.
Prue$as de seguridad e
intrusin
Tests d e a p l i c a c i n B E l ! r o y e c t o $ % A & ' h a c r e a d
o l a Du a de !ruebas !ara ayudar a los
desarrolladores, analistas y es!ecialistas en
a!licaciones de seguridad a com!render c+mo
!robar eciente y de modo ecaz la seguridad en
a!licaciones web. Esta am!lia gua, con docenas
de colaboradores, ofrece una am!lia cobertura
sobre muchos temas de com!robaci+n de
seguridad de a!licaci+n web. As como la reisi+n
de c+digo =ene sus !untos fuertes, tambi=n los
=enen las !ruebas de seguridad. Es muy
conincente cuando !uedes demostrar que una
a!licaci+n es insegura demostrando su
e#!lotabilidad. (ambi=n hay muchos !roblemas de
seguridad, en !ar=cular la seguridad !ro!orcionada !or la
infraestructura de las a!licaciones, que sim!lemente no
!ueden ser detectados !or una reisi+n del
c+digo, ya que no es la a!licaci+n quien est
!ro!orcionando la seguridad..

Perra#ientas de Intrusin de AplicacinB
%eb&carab, que es uno de los !royectos ms
u=lizados de $%A&', es un !ro#y de a!licaci+n de
!ruebas web. 'ermite que un analista de seguridad
interce!tar las solicitudes de a!licaci+n web, de modo
que el analista !uede descubrir c+mo funciona la
a!licaci+n, y luego le !ermite eniar solicitudes de
!rueba !ara er si la a!licaci+n res!onde de modo
seguro a las !e=ciones. Esta herramienta es
es!ecialmente ecaz a la hora de ayudar a un analista
en la iden=caci+n de ulnerabilidades _&&, de
auten=caci+n, de control de acceso. kA' !osee un
ac = e scanner y es libre.
organi3aciones
"o#ience hoy su progra#a de seguridad en aplicaciones
7a seguridad en las a!licaciones ya no es o!cional. Entre el aumento de los ataques y !resiones de cum!limiento
norma=o, las organizaciones deben establecer un mecanismo ecaz !ara asegurar sus a!licaciones. 0ado el
asombroso n2mero de a!licaciones y lneas de c+digo que ya estn en !roducci+n, muchas organizaciones estn
luchando !ara conseguir ges=onar el enorme olumen de ulnerabilidades. $%A&' recomienda a las
organizaciones establecer un !rograma de seguridad de las a!licaciones !ara aumentar el conocimiento y me"orar
la seguridad en todo su catlogo de a!licaciones. /onseguir un niel de seguridad de las a!licaciones requiere que
diersas !artes de una organizaci+n traba"en "untos de manera eciente, incluidos los de!artamentos de seguridad
y auditora, desarrollo de soNware, ges=+n e"ecu=a y negocio. &e requiere que la seguridad sea isible, !ara que
todos los inolucrados !uedan er y entender la !ostura de la organizaci+n en cuanto a seguridad en a!licaciones.
(ambi=n es necesario centrarse en las ac=idades y resultados que realmente ayuden a me"orar la seguridad de la
em!resa mediante la reducci+n de riesgo de la forma ms rentable !osible. Algunas de las ac=idades clae en la
efec=a a!licaci+n de los !rogramas de seguridad incluyenC

"o#ien
ce
@Establecer un !rogram a de seguridad de a!licaci+n y im!ulsar su ado!ci+n.
@.ealizar un anlisis de brech a de ca!acidad entre su organizaci+n y los em!leados !ara denir
las reas clae de
me"ora y un !lan de e"ecuci+n.
@$btener la a!robaci+n de la direcci+n y establecer una cam!a8 a de concienciaci+n de seguridad
en las
a!licaciones !ara toda la organizaci+n -(.
>nfoHue
$asado en
el
cat;logo
de
riesgos
@-den=car y establecer !rioridades en su catlogo de a!licaciones en base a al riesgo
inherente.
@/rear un modelo de !erlado de riesgo de las a!licaciones !ara medir y !riorizar las
a!licaciones de su catlogo.
@Establecer directrices !ara garan=zar y denir adecuadamente los nieles de cobertura y rigor
requeridos.
@Establecer un modelo de calicaci+n de riesgo com2n con un con"unto consistente de factores
de im!acto y
!robabilidad que re]e"en la tolerancia al riesgo de su organizaci+n.
"uente
con una
$ase
slida
@Establecer un con"unto de !ol = cas y estndares que !ro!orcionen un a base de referenci a de
seguridad de las
a!licaciones, a las cuales todo el equi!o de desarrollo !ueda adherirse.
@0enir un con"unto de controles de seguridad reu = lizables com2n que com!lementen esas
!ol=cas y estndares
y !ro!orcionen una gua en su uso en el dise8o y desarrollo
@Establecer un !erl de formaci+n en seguridad en a!licaciones que sea un requisito, dirigido a
los diferentes roles
y =!ologas de desarrollo.
Integre la
Seguridad
en los
Procesos
>?istente
s
@0enir e integrar ac=idades de im!lementaci+n de seguridad y ericaci+n en los
!rocesos o!era=os y de desarrollo e#istentes. Estas ac=idades incluyen el ,odelado de
Amenazas , 0ise8o y .eisi+n seguros, 0esarrollo &eguro y .eisi+n de /+digo , 'ruebas de
-ntrusi+n , .emediaci+n, etc.
@'ara tener e#ito, !ro!orcionar e#!ertos en la materia y sericios de a!oyo a los equi!os de
desarrollo y de
!royecto.
Pr?i#os pasos
R
Proporcio
ne una
visin de
ges"n
@Des=onar a tra=s de m=tricas. ,ane"ar las decisiones de me"ora y !roisi+n de recursos
econ+micos basndose en las m=tricas y el anlisis de los datos ca!turados. 7as m=tricas
incluyen el seguimiento de las !rc=casE ac=idades de seguridad, ulnerabilidades
!resentes, mi=gadas, cobertura de la a!licaci+n, densidad de defectos !or =!o y can=dad
de instancias, etc.
@Analizar los datos de las ac=idades de im!lementaci+n y ericaci+n !ara buscar el orgen de
la causa y !atrones
en las ulnerabilidades !ara !oder conducir as me"oras estrat=gicas en la organizaci+n
Pr?i#os pasos
R
R(
Acerca de los riesgos
Lo i#portante son los riesgosZ no
las de$ilidades
Aunque las ersiones del (o! )* de $%A&' del 3**6 y las anteriores se centrasen en iden=car las
ulnerabilidades ms comunes, el (o! )* de $%A&' siem!re se ha organizado en base a los riesgos. Esto ha
causado en la gente una confusi+n ms que razonable a la hora de buscar una ta#onoma de ulnerabilidades
herm==ca. 7a ersi+n 3*)* del (o! )* de $%A&' clarica el mo=o !or el cual centrarse en el riesgo,
e#!licitando, c+mo las amenazas, ectores de ataque, debilidades, im!actos t=cnicos y de negocio, se combinan
!ara desencadenar un riesgo. Esta ersi+n del ($' )* de $%A&' sigue la misma metodologa.

7a metodologa de asignaci+n de riesgo !ara el (o! )* est basada en la ,etodologa de Ealuaci+n de
.iesgos $%A&' < .isK .a=ng ,ethodology>. 'ara cada elemento del (o! )*, se ha es=mado el riesgo j!ico que
cada debilidad introduce en una a!licaci+n web j!ica, e#aminando factores de !robabilidad comunes y factores de
im!acto !ara cada debilidad com2n. &eguidamente, se ha ordenado el (o!
)* seg2n aquellas ulnerabilidades que normalmente su!onen un mayor
riesgo !ara la a!licaci+n.

7a ,etodologa de Ealuaci+n de .iesgos $%A&' dene numerosos factores que ayudan a calcular el riesgo de una
ulnerabilidad iden=cada.
&in embargo, el (o! )* debe basarse en generalidades en ez de ulnerabilidades concretas en
a!licaciones reales. Es !or ello que nunca se !odr ser tan !reciso como el due8o de un sistema cuando
calcula los riesgos !ara su<s> a!licaci+n<es>. Qsted est me"or ca!acitado !ara "uzgar la im!ortancia de sus
a!licaciones y datos, cules son sus agentes de amenaza, y c+mo su sistema ha sido construido y est siendo
o!erado.

Nuestra metodologa incluye tres factores de !robabilidad !ara cada ulnerabilidad <frecuencia, !osibilidad de
detecci+n y facilidad de
e#!lotaci+n> y un factor de im!acto <im!acto t=cnico>. 7a frecuencia de una debilidad es un factor que
normalmente no es necesario calcular. 'ara los datos sobre la frecuencia, se han reco!ilado las estads=cas de
frecuencia de un con"unto de organizaciones diferentes <como se indica en la secci+n de Agradecimientos en
la !gina 4> y se han !romediado estos datos !ara construir un (o! )* de !robabilidades de
e#istencia seg2n su frecuencia. Esta informaci+n fue !osteriormente combinada con los otros dos
factores de !robabilidad <!osibilidad de detecci+n y facilidad de e#!lotaci+n> !ara calcular una tasa de
!robabilidad !ara cada debilidad. Esta tasa fue mul=!licada !or el im!acto t=cnico !romedio es=mado !ara cada
elemento !ara as !oder obtener una clasicaci+n de riesgo total !ara cada elemento en el (o! )*.

/abe destacar que esta a!ro#imaci+n no toma en cuenta la !robabilidad del agente de amenaza.
(am!oco se =ene en cuenta ninguno de los detalles t=cnicos asociados a su a!licaci+n en !ar=cular.
/ualquiera de estos factores !odran afectar signica=amente la !robabilidad total de que un atacante
encontrase y e#!lotase una ulnerabilidad es!ecca. Esta clasicaci+n tam!oco =ene en cuenta el im!acto real
sobre su negocio. &u organizaci+n deber decidir cunto riesgo de seguridad en las a!licaciones est dis!uesta a
asumir dada su cultura, la industria y el entorno norma=o. El !ro!+sito del (o! )* de $%A&' no es hacer este
anlisis de riesgos !or usted.

El siguiente diagrama ilustra los clculos sobre el riesgo del !unto A4C /ross9:&ite &cri!=ng, como
e"em!lo. 7os _&& son tan frecuentes que se
"us=ca el alor de R,QX 0-1QN0-0$ a *. El resto de riesgos se enmarcan entre difundidos a !oco
comunes <alores de ) a 4>.

Agentes
de
A#ena3
a
Dectores

de
AtaHue

De$ilidade
s
de
Seguridad

I#pact
os
T+cnic
os
I#pactos
al negocio


,



,






, !

>specE8co de
>?plota$ilidad 'recuencia Deteccin I#pacto
>specE8co de
Aplicacin P(OI>DIO I%Y
DI'%NDIDO
'K"IL

IOD>(ADO aplicacinJneg
ocio

O
,
Detalles acerca de los
factores de
riesgo
(esu#en de los factores de riesgo Top !
7a siguiente tabla !resenta un resumen del (o! )* 3*)4 de .iesgos de &eguridad en A!licaciones, y los factores de
riesgo que hemos asignado a cada uno. Estos factores fueron determinados basndose en las estads=cas
dis!onibles y en la e#!eriencia del equi!o $%A&' ($' )*. 'ara entender estos riesgos !ara una a!licaci+n u
organizaci+n !ar=cular, debe considerar sus !ro!ios agentes de amenaza e im!actos es!eccos al negocio. -ncluso
debilidades de soNware escandalosas !odran no re!resentar un riesgo serio si no hay agentes de amenaza en
!osici+n de e"ecutar el ataque necesario o el im!acto al negocio !odra ser insignicante !ara los ac=os
inolucrados.
.iesg
o
Agentes
de
A#ena3
a
Dectores
de AtaHue
>?plota$ilid
ad
De$ilidades
de Seguridad
Prevalecencia
Detecta$ilidad
I#pact
os
T+cnico
s
I#pacto

I#pactos

al negocio

>specE8co de
la Aplicacin
'K"IL "OILN
P(OI>DIO S>D>(O
>specE8co
de
la
Aplicaci
n
A,FGAuten"cacin
>specE8co
de
la
Aplicaci
n
A-FG4SS >specE8co de
P(OI>DIO DI'%NDIDA P(OI>DIO S>D>(O

>specE8co de
la Aplicacin
>specE8co de
la Aplicacin
P(OI>DIO I%Y DI'%NDIDA
'K"IL IOD>(ADO
la
Aplicaci
n
A5FG(ef&
Directa
insegura
>specE8co
de
la
Aplicaci
n
>specE8co
de
la
Aplicaci
n
A9FG
Defectuosa
"on8guraci
n
>specE8co
de
la
Aplicaci
n
>specE8co
de
la
Aplicaci
n
A7FG
>?posicin
de Datos
Sensi$les
>specE8co
de
la
Aplicaci
n
>specE8co
de
la
Aplicaci
n
A:FGAusencia
"ontrol
'unciones
>specE8co
de
la
Aplicaci
n
>specE8co
de
la
Aplicaci
n
R'
AFG
'K"IL "OILN 'K"I
L
IOD>(A
DO
'K"IL "OILN 'K"I
L
IOD>(A
DO
DI'\"IL PO"O
"OILN
P(OI>DIO S>D>(O

'K"IL "OILN P(OI>DIO IOD>(A
DO
P(OI>DIO "OILN 'K"IL
IOD>(ADO
P(OI>DIO DI'%NDIDA DI'\"IL IOD>(A
DO
P(OI>DIO PO"O
"OILN
'K"I
L
IOD>(A
DO
A@FG"S('
>specE8co de
la
Aplicaci
n
>specE8co
de
la
Aplicaci
n
A<FG
"o#ponente
s Dulnera$les

>specE8co
de
la
Aplicaci
n
>specE8co
de
la
Aplicaci
n
A!FG
(edirecciones

no validadas
>specE8co
de
la
Aplicaci
n
>specE8co
de
la
Aplicaci
n
(iesgos adicionales a considerar
El ($' )* cubre un am!lio es!ectro, !ero hay otros riesgos que debera considerar y ealuar en su organizaci+n.
Algunos de estos han a!arecido en ersiones !reias del $%A&' ($' )*, y otros no, incluyendo nueas t=cnicas de
ataque que estn siendo iden=cadas constantemente. $tros riesgos de seguridad de a!licaci+n im!ortantes
<listados en orden alfab==co> que debera tambi=n considerar incluyenC
@ n = 9 : autom a= zaci+n insuciente </% E9 :6[[ >
@/ / licK"acKing <t=cnica de ataque reci=n descubierta en el 3**O>
@ enegaci+n de sericio
@ E"ecuci+n de archios maliciosos <fue !arte del (o! )* 3**6 9: Entrad a 3**6 9 : A4 >
@ 1allas de concurrencia
@ 1al ta de detecci+n y res!ues ta a las intromisiones
@ 1iltraci+n de informaci+n y ,ane"o ina!ro!iado de errores < fue !arte del ($' )* del 3**6 9: Entrad a AN >
@ -nyecci+n de e#!resiones de lengua"e </% E9 :[)6 >
@ 'riacidad de usuario
@.egistro y res!onsabilidad insucientes <.elacionado al ($' )* del 3**6 9: Entrad a AN >
@ ulnerabilidad de asignaci+n masia </% E9 :[)P >
7$& -/$N$& ,l& ALAU$ .E'.E&EN(AN $(.A&
SE.&-$NE& 0-&'$N-L7E& 0E E&(E 7-L.$.

A71AC Qn libro de calidad Alfa es un borrador
de traba"o. 7a mayor !arte del contenido se
encuentra en bruto
y en desarrollo hasta el !r+#imo niel de
!ublicaci+n.

LE(AC Qn libro de calidad Beta es el !r+#imo
niel de calidad.
El contenido se encuentra todaa en desarrollo
hasta la
!r+#ima !ublicaci+n.

1-NA7C Qn libro de calidad 'inal es el niel ms
alto de calidad,
y es el !roducto nalizado.
Q&(E0 E& 7-L.E 0EC

co!iar, distribuir y e"ecutar
!2blicamente la
obra



hacer obras
deriadas


LAU$ 7A& &-DQ-EN(E&
/$N0-/-$NE&C
.econocimiento m 0ebe
reconocer los c r = d i t o s d e l a
o b r a d e l a m a n e r a es!ecicada !or
el autor o el licenciante <!ero
no de una manera que sugiera que
=ene su a!oyo o a!oyan el uso
que hace de
su
obra>.

/om!ar=r ba"o la misma licencia m
&i altera o transforma esta obra, o
genera una obra deriada, s+lo
!uede distribuir la obra generada
ba"o una licencia id=n=ca a =sta.
A71A LE(A 1-NA7
El !royecto abierto de seguridad en a!licaciones %eb <$%A&' !or sus
siglas en ingl=s> es una comunidad abierta y libre de niel mundial enfocada
en me"orara la seguridad en las a!licaciones de soNware. Nuestra misi+n
es hacer la seguridad en a!licaciones YisibleY, de manera que las
organizaciones !ueden hacer decisiones informadas sobre los
riesgos en la seguridad de a!licaciones. (odo mundo es libre de
!ar=ci!ar en $%A&' y en todos los materiales dis!onibles ba"o una
licencia de soNware libre y abierto. 7a fundaci+n $%A&' es una
organizaci+n sin nimo de lucro P*)c4 que asegura la dis!onibilidad y
a!oyo !ermanente !ara nuestro traba"o.