Difference between revisions of "Diez Mayores 2007"

From OWASP
Jump to: navigation, search
(Versiones para bajar: Added link to Spanish version)
 
(6 intermediate revisions by 3 users not shown)
Line 3: Line 3:
 
==Presentación==
 
==Presentación==
  
Bienvenidos a la lista de las 10 mayores vulnerabilidades de OWASP 2007!  Esta edición, totalmente reescrita lista las vulnerabilidades más serias en aplicaciones web, discute como protegerse de ellas y provee ligas a mas información.  '''La lista de las 10 mayores vulnerabilidades de OWASP ha sido traducida al Francés. [https://www.owasp.org/images/c/ce/OWASP_Top_10_2007_-_French.pdf De clic aquí] para la traducción al francés!'''
+
Bienvenidos a la lista de las 10 mayores vulnerabilidades de OWASP 2007!  Esta edición, totalmente reescrita lista las vulnerabilidades más serias en aplicaciones web, discute como protegerse de ellas y provee ligas a mas información.  '''La lista de las 10 mayores vulnerabilidades de OWASP ha sido traducida al Español. [https://www.owasp.org/images/a/ae/OWASP_Top_10_2007_Spanish.pdf De clic aquí] para la traducción al español!'''
  
 
La lista de las 10 mayores de OWASP para la versión empresarial de Java esta disponible para bajarla [https://www.owasp.org/images/8/89/OWASP_Top_10_2007_for_JEE.pdf aqui]
 
La lista de las 10 mayores de OWASP para la versión empresarial de Java esta disponible para bajarla [https://www.owasp.org/images/8/89/OWASP_Top_10_2007_for_JEE.pdf aqui]
Line 41: Line 41:
 
{| border='1' cellpadding='2'  
 
{| border='1' cellpadding='2'  
 
|-
 
|-
|[[Top_10_2007-A1|A1 - Secuencia de comandos en sitios cruzados (XSS)]]
+
|[[Top 10 2007-Secuencia de Comandos en Sitios Cruzados (XSS)|A1 - Secuencia de comandos en sitios cruzados (XSS)]]
 
|Las fallas de XSS acurren cuando una aplicación toma la información proveida por el usuario y la envia a un navegador sin validarla primero o codificar el contenido. El XSS permite a los atacantes ejecurar scripts en el navegador de la víctima la cual puede secuestrar la sesión del usuario, modificación de sitios web, la posible introducción de gusanos, etc.
 
|Las fallas de XSS acurren cuando una aplicación toma la información proveida por el usuario y la envia a un navegador sin validarla primero o codificar el contenido. El XSS permite a los atacantes ejecurar scripts en el navegador de la víctima la cual puede secuestrar la sesión del usuario, modificación de sitios web, la posible introducción de gusanos, etc.
 
|-
 
|-
  
|[[Top_10_2007-A2|A2 - Fallas de inyección]]
+
|[[Top 10 2007-Fallas de Inyección|A2 - Inyección de código]]
 
|La fallas de inyección, particularmente la inyección de SQL, son comunes en las aplicaciones Web. La inyección ocurre cuando los datos proveidos por el usuario son enviados a un interprete como parte de un comando o petición. Los datos hostiles del atacante engañan al interprete a ejecutar comandos no intencionados o cambiar los datos.
 
|La fallas de inyección, particularmente la inyección de SQL, son comunes en las aplicaciones Web. La inyección ocurre cuando los datos proveidos por el usuario son enviados a un interprete como parte de un comando o petición. Los datos hostiles del atacante engañan al interprete a ejecutar comandos no intencionados o cambiar los datos.
 
|-
 
|-
  
|[[Top_10_2007-A3|A3 - Ejecución maliciosa de archivos]]
+
|[[Top 10 2007-Ejecución de Ficheros Malintencionados|A3 - Ejecución maliciosa de archivos]]
|El código vulnerable a inclusión remota de archivos permite a los atacantes incluir código y datos hostiles, resultando en ataques devastadores, como secuestro total del servidor. Los ataques de ejecución maliciosa de archivos afectan a PHP, XML y cualquier marco de trabajo que acepte nombres de archivos o archivos desde los usuarios.
+
|El código vulnerable a inclusión remota de archivos permite a los atacantes incluir código y datos hostiles, resultando en ataques devastadores, como secuestro total del servidor. Los ataques de ejecución maliciosa de archivos afectan a PHP, XML y cualquier marco de trabajo que soporte el manejo de nombres de archivos o permita la interacción con los usuarios mediante el intercambio de archivos.
 
|-
 
|-
  
|[[Top_10_2007-A4|A4 - Referencia directa e insegura a objetos]]
+
|[[Top 10 2007-Referencia Insegura y Directa a Objetos|A4 - Referencia directa e insegura a objetos]]
 
|Una referencia directa e insegura a objetos ocurre cuando un desarrollador expone una referencia a una implementación interna de un objeto como unn archivo, un directorio, un registro de BD o una llave, en forma de parámetro de URL o de una forma. Los atacantes pueden manipular esas referencias para acceder a otros objetos sin tener autorización
 
|Una referencia directa e insegura a objetos ocurre cuando un desarrollador expone una referencia a una implementación interna de un objeto como unn archivo, un directorio, un registro de BD o una llave, en forma de parámetro de URL o de una forma. Los atacantes pueden manipular esas referencias para acceder a otros objetos sin tener autorización
 
|-
 
|-
  
|[[Top_10_2007-A5|A5 - Falsificación de petición en sitios crusados (CSRF)]]
+
|[[Top 10 2007-Vulnerabilidades de Falsificación de Petición en Sitios Cruzados (CSRF)|A5 - Falsificación de petición en sitios crusados (CSRF)]]
 
|A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks.
 
|A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks.
  
 
|-
 
|-
  
|[[Top_10_2007-A6|A6 - Revelación de información y gestión incorrecta de errores]]
+
|[[Top 10 2007-Revelación de Información y Gestión Incorrecta de Errores|A6 - Revelación de Información y Gestión Incorrecta de Errores]]
 
|Las aplicaciones pueden (sin intención) revelar información sobre su configuración, funcionalidad interna o violar la privacidad a travez de una variedad de problemas de la aplicación. Los atacantes usan estas debilidades para robar información delicada o conducir ataques mas serios.  
 
|Las aplicaciones pueden (sin intención) revelar información sobre su configuración, funcionalidad interna o violar la privacidad a travez de una variedad de problemas de la aplicación. Los atacantes usan estas debilidades para robar información delicada o conducir ataques mas serios.  
 
|-
 
|-
  
|[[Top_10_2007-A7|A7 - Autentificación y gestión de sesiones disfuncional]]
+
|[[Top 10 2007-Autenticación y Gestión de Sesiones Disfuncional|A7 - Autentificación y gestión de sesiones disfuncional]]
 
|Las credenciales de las cuenta y testigos de sesión son frecuentemente protegidos inadecuadamente. Los atacantes roban contraseñas, llaves o testigos de autneticación para asumir la identidad de otros usuarios.
 
|Las credenciales de las cuenta y testigos de sesión son frecuentemente protegidos inadecuadamente. Los atacantes roban contraseñas, llaves o testigos de autneticación para asumir la identidad de otros usuarios.
 
|-
 
|-
  
|[[Top_10_2007-A8|A8 - Almacenamiento cirptográfico inseguro]]
+
|[[Top 10 2007-Almacenamiento Criptográfico Inseguro|A8 - Almacenamiento cirptográfico inseguro]]
 
|Las aplicaciones Web raramente usan funciones criptográdicas apropiadamente para proteger información y credenciales. Los atacantes usan la información mal protegida para hacer robos de identidad y otros crimenes, como fraude con tarjetas de crédito.
 
|Las aplicaciones Web raramente usan funciones criptográdicas apropiadamente para proteger información y credenciales. Los atacantes usan la información mal protegida para hacer robos de identidad y otros crimenes, como fraude con tarjetas de crédito.
 
|-
 
|-
  
|[[Top_10_2007-A9|A9 - Comunicación Insegura]]
+
|[[Top 10 2007-Comunicaciones inseguras|A9 - Comunicación Insegura]]
 
|Las aplicaciones frecuentement falla al cifrar el tráfico de red cuando es necesario proteger comunicaciones delicadas.
 
|Las aplicaciones frecuentement falla al cifrar el tráfico de red cuando es necesario proteger comunicaciones delicadas.
 
|-
 
|-
  
|[[Top_10_2007-A10|A10 - Falla de restricción de acceso a URL]]
+
|[[Top 10 2007-Falla de restricción de acceso a URL|A10 - Falla de restricción de acceso a URL]]
 
|Frecuentemente, una aplicacion solo protege funcionalidad delicada evitando mostrar la ligas o URLs a usuarios no autorizados. Los atacantes pueden usar esta debilidad para acceder y realizar operaciones no autorizadas al acceder a esas URLs directamente.
 
|Frecuentemente, una aplicacion solo protege funcionalidad delicada evitando mostrar la ligas o URLs a usuarios no autorizados. Los atacantes pueden usar esta debilidad para acceder y realizar operaciones no autorizadas al acceder a esas URLs directamente.
 
|}
 
|}
Line 89: Line 89:
 
|-
 
|-
 
|[[Top 10 2007]]
 
|[[Top 10 2007]]
|Ademas de proveed una presentación, y un marcador de la sección de "conclusiones" (esto puede hacerse arrastrando [https://www.owasp.org/index.php/Top_10_2007#Summary esta liga] a sus favoritos) nos da acceso rápido a el documento completo.
+
|Ademas de proveer una presentación, y un marcador de la sección de "conclusiones" (esto puede hacerse arrastrando [https://www.owasp.org/index.php/Top_10_2007#Summary este enlace] a sus favoritos) nos da acceso rápido a el documento completo.
 
|-
 
|-
 
|[[Top 10 2007-Metodología]]
 
|[[Top 10 2007-Metodología]]

Latest revision as of 16:41, 17 June 2010

    »»»»

Contents

Presentación

Bienvenidos a la lista de las 10 mayores vulnerabilidades de OWASP 2007! Esta edición, totalmente reescrita lista las vulnerabilidades más serias en aplicaciones web, discute como protegerse de ellas y provee ligas a mas información. La lista de las 10 mayores vulnerabilidades de OWASP ha sido traducida al Español. De clic aquí para la traducción al español!

La lista de las 10 mayores de OWASP para la versión empresarial de Java esta disponible para bajarla aqui

Objetivo

El objetivo principal de la lista de las 10 de OWASP es formar desarrolladores, diseñadores, arquitectos y organizaciones sobre las consecuencias de las vulnerabilidades más comunes en aplicaciones web. Las lista provee métodos básicos para protegerse contra estas vulnerabilidades - un gran inicio para su programa de codificación segura.

La seguridad no es un evento de una sola vez. No es suficiente asegurar su código solo una vez. Para 2008, esta lista cambiará y sin cambiar una línea de el código de su aplicación, puede ser vulnerable. Por favor revise el consejo en Top 10 2007-¿A dondé sigo Ahora? para mas información.

Una iniciativa de codificación segura debe lidiar con todas las etapas de desarrollo del programa. Las aplicaciones Web seguras solo es posible cuando un SDLC seguro es usado. Los programas seguros desde el inicio por su diseño y desarrollo. Hay al menos 300 problemas que afectan la seguridad en general de una aplicación Web. Estos mas de 300 problemas están detallados en la Guía de OWASP, la cua es una lectura escencial para cualquiera que desarolle aplicaciones Web en la actualidad.

Este documento es el principalmente un documento educativo, no un standard. Por favor no adopte este documento como una política o estándar sin hablar con nosotros primero! Si necesita una política o estandar de codificación segura, OWASP tiene proyectos de políticas y estándares de seguridad que están en progreso. Por favor considere unirse o asistir financieramente estos esfuerzos.

Retroalimentación

Agradecemos a MITRE por hacer La distribución de tipos de vulnerabilidades en el CVE disponibles libremente para su uso. El proyecto de la lista de las 10 mayores esta dirijida y patrocinada por Aspect_logo.gif.

Líder de proyecto: Andrew van der Stock (Director ejecutivo, Fundación OWASP) Co-autores: Jeff Williams (Presidencia, Fundación OWASP), Dave Wichers (Presidencia de conferencia, Fundación OWASP)

Queremos agradecer a los revisores:

  • Raoul Endres por ayudar a echar a andar la lista de nuevo y por sus valiosos comentarios.
  • Steve Christey(MITRE) por una importante revisión y la adición de los datos del MITRE CWE
  • Jeremiah Grossman (WhiteHat Security) por revisar y contribuir con información sobre el éxico (o falla) de la medidas de detección automatizadas.
  • Neil Smithline (BEA Systems) por sus comentarios y producir la versión Wiki-
  • Sylvan von Stuppe por una revisión ejemplar.
  • Colin Wong, Nigel Evans y Andre Gironda por comentarios enviados por correo.

Conclusión

A1 - Secuencia de comandos en sitios cruzados (XSS) Las fallas de XSS acurren cuando una aplicación toma la información proveida por el usuario y la envia a un navegador sin validarla primero o codificar el contenido. El XSS permite a los atacantes ejecurar scripts en el navegador de la víctima la cual puede secuestrar la sesión del usuario, modificación de sitios web, la posible introducción de gusanos, etc.
A2 - Inyección de código La fallas de inyección, particularmente la inyección de SQL, son comunes en las aplicaciones Web. La inyección ocurre cuando los datos proveidos por el usuario son enviados a un interprete como parte de un comando o petición. Los datos hostiles del atacante engañan al interprete a ejecutar comandos no intencionados o cambiar los datos.
A3 - Ejecución maliciosa de archivos El código vulnerable a inclusión remota de archivos permite a los atacantes incluir código y datos hostiles, resultando en ataques devastadores, como secuestro total del servidor. Los ataques de ejecución maliciosa de archivos afectan a PHP, XML y cualquier marco de trabajo que soporte el manejo de nombres de archivos o permita la interacción con los usuarios mediante el intercambio de archivos.
A4 - Referencia directa e insegura a objetos Una referencia directa e insegura a objetos ocurre cuando un desarrollador expone una referencia a una implementación interna de un objeto como unn archivo, un directorio, un registro de BD o una llave, en forma de parámetro de URL o de una forma. Los atacantes pueden manipular esas referencias para acceder a otros objetos sin tener autorización
A5 - Falsificación de petición en sitios crusados (CSRF) A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks.
A6 - Revelación de Información y Gestión Incorrecta de Errores Las aplicaciones pueden (sin intención) revelar información sobre su configuración, funcionalidad interna o violar la privacidad a travez de una variedad de problemas de la aplicación. Los atacantes usan estas debilidades para robar información delicada o conducir ataques mas serios.
A7 - Autentificación y gestión de sesiones disfuncional Las credenciales de las cuenta y testigos de sesión son frecuentemente protegidos inadecuadamente. Los atacantes roban contraseñas, llaves o testigos de autneticación para asumir la identidad de otros usuarios.
A8 - Almacenamiento cirptográfico inseguro Las aplicaciones Web raramente usan funciones criptográdicas apropiadamente para proteger información y credenciales. Los atacantes usan la información mal protegida para hacer robos de identidad y otros crimenes, como fraude con tarjetas de crédito.
A9 - Comunicación Insegura Las aplicaciones frecuentement falla al cifrar el tráfico de red cuando es necesario proteger comunicaciones delicadas.
A10 - Falla de restricción de acceso a URL Frecuentemente, una aplicacion solo protege funcionalidad delicada evitando mostrar la ligas o URLs a usuarios no autorizados. Los atacantes pueden usar esta debilidad para acceder y realizar operaciones no autorizadas al acceder a esas URLs directamente.
Tabla 1: La 10 mayores vulnerabilidades de OWASP 2007


Hay muchas páginas en este documento que no están dedicadas a vulnerabilidades en específico y por lo tanto no están listadas en la tabla. Aqui hay una lista de ellas.

Top 10 2007 Ademas de proveer una presentación, y un marcador de la sección de "conclusiones" (esto puede hacerse arrastrando este enlace a sus favoritos) nos da acceso rápido a el documento completo.
Top 10 2007-Metodología Una descripción de la metodología usada para selecionar las vulnerabilidades para este documento.
Top 10 2007-¿A dondé sigo Ahora? Algunas sugerencias sobre como proceder una ves que ha leído este documento.
Top 10 2007-Referencias Recomendaciones para lectura posterior.
Tabla 1a: Paginas en el documento de la lista de las 10 mayores 2007 que no son la lista de vulnerabilidades mencionadas arriba.

Una nota sobre las diferentes versiones

Mientras que la única versión oficial de la lista de las 10 mayores vulnerabilidades de OWASP 2007 es la version en PDF y en inglés, OWASP ah puesto a su disposición este Wiki que inicialmente contenia el mismo contenido que el PDF. Pero OWASP espera que cambien con su ayuda. OWASP promueve el envolvimiento de la comunidad y quiere su ayuda para hacer la versión Wiki mejor que nunca. Para ayudar a esto han creado un pequeño tutorial para iniciarlo en este proceso.

Versiones para bajar

Puede bajar la lista 2007 (versión final) aqui:

  • Le gustaría tener esta versión en otro idioma? podriamos usar su ayuda para traducirla. Contacte a Andrew van der Stock (vanderaj ...(@)... owasp.org) para ayudarnos a traducir la lista de las 10 mayores a otro idioma.


    »»»»

© 2002-2007 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 2.5 license. Some rights reserved.