Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

OWASP

No description
by

Carlos Andrés Jiménez Duarte

on 25 September 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of OWASP

Los diez riesgos más criticos en aplicaciones Web
OWASP Top 10 - 2013
Este manual surge porque a medida que la estructura digital se hace más compleja, la seguridad aumenta exponencialmente.

El objetivo es identificar los riesgos realmente críticos que enfrentan las organizaciones.


Introducción
"Los desarrolladores pueden aprender de los errores de otras organizaciones."

Una organización basada en voluntarios, miembros globales, lideres de proyectos. Los capítulos y aplicaciones son gratuitos.
Acerca de OWASP
La perdida de autenticación y gestión de sesiones.
Falsificaciones de Peticiones en Sitios Cruzados
Se amplió sobre la Falla de Restricción de Acceso a URL
Exposición de Datos Sensibles (Almacenamiento Criptográfico Inseguro, Protección de la Capa de Transporte)
Uso de Componentes con Vulnerabilidades Conocidas
Lo que representa
esta versión
Modelo de Trabajo
A1– Inyección

A2 – Perdida de Autenticación y Gestión de Sesiones

A3 –Secuencia de Comandos en Sitios Cruzados (XSS)

A4 – Referencia Directa Insegura a Objetos

A5 – Configuración de Seguridad Incorrecta

A6 – Exposición de datos sensibles

A7 – Ausencia de Control de Acceso a Funciones

A8 – Falsificación de Peticiones en Sitios Cruzados (CSRF)

A9 – Utilización de componentes con vulnerabilidades conocidas

A10 – Redirecciones y reenvíos no validados

OWASP Top 10 de Riesgos
de Seguridad en Aplicaciones
A1 - Inyección
Es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
A2 - Pérdida de Autenticación y Gestión de Sesiones
El atacante utiliza filtraciones o vulnerabilidades en las funciones de autenticación o gestión de las sesiones(ej. cuentas expuestas, contraseñas, identificadores de sesión) para suplantar otros usuarios.
A3-Secuencia de comandos en sitios cruzados XSS
El atacante envía cadenas de texto que son secuencias de comandos de ataque que explotan el interprete del navegador.
A4-Referencia directa insegura a objetos
Un atacante modifica de un parámetro que se refiere directamente a un objeto del sistema por otro objeto para el que el usuario no se encuentra autorizado.
A5-Configuración de seguridad incorrecta
Un atacante accede a cuentas por defecto, paginas sin uso, fallas sin parchear, archivos y directorios sin protección, etc. para obtener acceso no autorizado o conocimiento del sistema.
El atacante identifica un componente débil através de escaneos automáticos o análisis manuales. Ajusta el exploit como lo necesita y ejecuta ela ataque
Full transcript