Mostrando entradas con la etiqueta vulnerabilidad. Mostrar todas las entradas
Mostrando entradas con la etiqueta vulnerabilidad. Mostrar todas las entradas

miércoles, 18 de noviembre de 2015

La aplicación WebGoat para conocer a fondo las vulnerabilidades OWASP Top 10

 En el mundo de la seguridad de aplicaciones web la lista OWASP Top 10 , que hemos comentado en anteriores entradas, representa las vulnerabilidades más frecuentes que hay que evitar. Sin embargo, no siempre es sencillo entender los conceptos que se manejan en la lista y por ello la gente de la OWASP Foundation ha creado una aplicación JavaEE deliberadamente insegura.

 Esta aplicación insegura es la que se denomina WebGoat, como un juego de palabras con ScapeGoat, chivo expiatorio en inglés, y permite a los desarrolladores Java familiarizarse con todas las vulnerabilidades más comunes.

 El código y las instrucciones de instalación de WebGoat se encuentran disponibles de forma pública en GitHub: WebGoat download tanto en su forma más sencilla (Easy Run) en un fichero jar, como en la versión con código fuente que viene empaquetada como un proyecto para Maven.

Página de inicio de WebGoat


Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , ,

martes, 19 de mayo de 2015

OWASP Top 10 - Vulnerabilidades críticas en aplicaciones web

 La lista OWASP Top 10 es probablemente la más conocida de internet para aplicaciones web. Esta lista recopila los diez riesgos de seguridad más críticos para aplicaciones web y para cada riesgo incluye su descripción, vulnerabilidades y ataques de ejemplo, una guia sobre como evitarlos y referencias a otros recursos. Vamos, de lectura obligada para cualquier desarrollador de aplicaciones web.

 Yendo a lo concreto, esta es la lista:
  • Inyección
  • Pérdida de autenticación y gestión de sesiones
  • Secuencia de comandos entre sitios (XSS)
  • Referencia directa insegura a objetos
  • Configuración de seguridad incorrecta
  • Exposición de datos sensibles
  • Ausencia de control de acceso a funciones
  • Falsificación de peticiones entre sitios (CSRF)
  • Utilización de componentes con vulnerabilidades conocidas
  • Redirecciones y reenvíos no validados
 Las vulnerabilidades no son nada nuevo pero si están en la lista es porque siguen causando la mayor parte de los problemas de seguridad de los sitios web, así os animo a leer los detalles y a ponerlos en práctica.



 OWASP Top 10 - 2013 - Español
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , ,
Suscribirse a: Entradas (Atom)