Difference between revisions of "Introduction OWASP Top Ten Project/es"

From OWASP
Jump to: navigation, search
(New page: ==Presentación== El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) se dedica a ayudar a las organizaciones a entender y mejorar la seguridad de sus a...)
 
Line 1: Line 1:
 
==Presentación==
 
==Presentación==
  
El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) se dedica a ayudar a las organizaciones a entender y mejorar la seguridad de sus aplicaciones y servicios web. Esta lista fue creada para guías a corporaciones y agencias de gobierno sobre las vulnerabilidades mas serias. La seguridad en aplicaciones Web se ha convertido en un tema candente conforme la compañias compiten para hacer su contenido y servicios accesibles a traves de la Web. Al mismo tiempo, los hackers has vuelto su atencion a las vulnerabilidades comúnes creadas por los desarrolladores de aplicaciones.
+
El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) ayuda a las organizaciones a entender y mejorar la seguridad de sus aplicaciones y servicios web.  
  
Cuando una organización publica una aplicación Web, invitan a el mundo a enviar peticiones HTTP. Los ataques incrusados en esas peticiones suelen sobrepasar los cotrafuegos, fistos, endurecimientos de plataforma y sistemas de detección de intrusos sin ser notados porque estan dentro de peticiones HTTP legales. Encluso los sitios "seguros" que usan SSL y solo aceptan las peticiones que llegar a travez de un tunel cifrado sin escrutinio. '''Esto significa que el ecódigo de su aplicacion es parte de su seguridad perimetral.''' Conforme el número, tamaño y complejidad de las aplicaciones web se incrementa, asi se incrementa su exposisión perimetral.
+
Esta lista fue creada para guíar a corporaciones y agencias de gobierno sobre las vulnerabilidades más serias. La seguridad en aplicaciones Web se ha convertido en un tema candente conforme la compañias compiten para hacer su contenido y servicios accesibles a traves de la Web. Al mismo tiempo, los hackers han volcado su atencion a vulnerabilidades comúnes creadas por los desarrolladores de aplicaciones.
  
Los problemas de seguridad comentados aqui no son nuevos. De hecho, algunos han sido bien conocidos por décadas. Aunque por una variedad de razones, los proyectos de los mayores productores de software siguen cayendo en estos errores y poniendo en peligro no solo la seguridad de sus clientes, sino la seguridad de la internet entera. Esto no es una "bala de plata" para resolver estos problemas. Las revisiones y tecnología de protección de hoy en día esta mejorando, pero actualmente solo pueden lidear con un conjuto limitado de problemas en el mejor de los casos. Para resolver los problemas descritos en este documento, las organizaciones necesitan cambiar su cultura de desarrollo, formar desarrolladores, actualizar sus procesos de desarrollo de software y usar tecnología cuando sea apropiado.
+
Cuando una organización publica una aplicación Web, invitan al mundo a enviar peticiones HTTP. Los ataques incrustados en esas peticiones suelen sobrepasar los cortafuegos, fistos, endurecimientos de plataforma y sistemas de detección de intrusos sin ser notados ya que estan dentro de peticiones HTTP legales. Esto afecta incluso a los sitios "seguros", que usan SSL y solo aceptan las peticiones que llegan a travez de un tunel cifrado sin escrutinio. '''Esto significa que el código de su aplicacion es parte de su seguridad perimetral.''', conforme el número, tamaño y complejidad de las aplicaciones web se incrementa, asi se incrementa su exposisión perimetral.
 +
 
 +
Los problemas de seguridad comentados aqui no son nuevos. De hecho, algunos han sido bien conocidos por décadas pero por una variedad de razones, los proyectos de los mayores productores de software siguen cayendo en estos errores y poniendo en peligro, no solo la seguridad de sus clientes, sino la seguridad de la internet entera. El proyecto no es una "bala de plata" para resolver todos estos problemas. Las revisiones y tecnología de protección cada día están mejorando pero,  en el mejor de los casos, solo pueden manejar un conjuto limitado de problemas.  
 +
 
 +
Para resolver los problemas descritos en este documento, las organizaciones necesitan cambiar su cultura de desarrollo, formar productores de software expertos, actualizar sus procesos de desarrollo de software y usar tecnología cuando sea apropiado.
  
 
'''El proyecto de las 10 mayores vulnerabilidades de OWASP es una lista de vulnerabilidades que requiren inmediata solución.''' El código existente debe ser revisado contra estas vulnerabilidades inmediatamente, dado que estas fallas estan siendo atacadas activamente por los atacantes. Los proyectos de desarrollo deben tocar estas vulnerabilidades en sus documentos de requerimientos y diseño, en las construcción y pruebas de sus aplicaciones para asegurarse que no han sido introducidas.  Los supervisores deben incluir presupueto y tiempo para las actividades de seguridad en sus aplicaciones que incluyan la formación de desarrolladores, el desarrollo de una politica de desarrollo seguro, mecanismos de diseño y desarrollo seguro, pruebas de intrusion y revision de seguridad en código fuente.
 
'''El proyecto de las 10 mayores vulnerabilidades de OWASP es una lista de vulnerabilidades que requiren inmediata solución.''' El código existente debe ser revisado contra estas vulnerabilidades inmediatamente, dado que estas fallas estan siendo atacadas activamente por los atacantes. Los proyectos de desarrollo deben tocar estas vulnerabilidades en sus documentos de requerimientos y diseño, en las construcción y pruebas de sus aplicaciones para asegurarse que no han sido introducidas.  Los supervisores deben incluir presupueto y tiempo para las actividades de seguridad en sus aplicaciones que incluyan la formación de desarrolladores, el desarrollo de una politica de desarrollo seguro, mecanismos de diseño y desarrollo seguro, pruebas de intrusion y revision de seguridad en código fuente.

Revision as of 14:36, 20 July 2009

Presentación

El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) ayuda a las organizaciones a entender y mejorar la seguridad de sus aplicaciones y servicios web.

Esta lista fue creada para guíar a corporaciones y agencias de gobierno sobre las vulnerabilidades más serias. La seguridad en aplicaciones Web se ha convertido en un tema candente conforme la compañias compiten para hacer su contenido y servicios accesibles a traves de la Web. Al mismo tiempo, los hackers han volcado su atencion a vulnerabilidades comúnes creadas por los desarrolladores de aplicaciones.

Cuando una organización publica una aplicación Web, invitan al mundo a enviar peticiones HTTP. Los ataques incrustados en esas peticiones suelen sobrepasar los cortafuegos, fistos, endurecimientos de plataforma y sistemas de detección de intrusos sin ser notados ya que estan dentro de peticiones HTTP legales. Esto afecta incluso a los sitios "seguros", que usan SSL y solo aceptan las peticiones que llegan a travez de un tunel cifrado sin escrutinio. Esto significa que el código de su aplicacion es parte de su seguridad perimetral., conforme el número, tamaño y complejidad de las aplicaciones web se incrementa, asi se incrementa su exposisión perimetral.

Los problemas de seguridad comentados aqui no son nuevos. De hecho, algunos han sido bien conocidos por décadas pero por una variedad de razones, los proyectos de los mayores productores de software siguen cayendo en estos errores y poniendo en peligro, no solo la seguridad de sus clientes, sino la seguridad de la internet entera. El proyecto no es una "bala de plata" para resolver todos estos problemas. Las revisiones y tecnología de protección cada día están mejorando pero, en el mejor de los casos, solo pueden manejar un conjuto limitado de problemas.

Para resolver los problemas descritos en este documento, las organizaciones necesitan cambiar su cultura de desarrollo, formar productores de software expertos, actualizar sus procesos de desarrollo de software y usar tecnología cuando sea apropiado.

El proyecto de las 10 mayores vulnerabilidades de OWASP es una lista de vulnerabilidades que requiren inmediata solución. El código existente debe ser revisado contra estas vulnerabilidades inmediatamente, dado que estas fallas estan siendo atacadas activamente por los atacantes. Los proyectos de desarrollo deben tocar estas vulnerabilidades en sus documentos de requerimientos y diseño, en las construcción y pruebas de sus aplicaciones para asegurarse que no han sido introducidas. Los supervisores deben incluir presupueto y tiempo para las actividades de seguridad en sus aplicaciones que incluyan la formación de desarrolladores, el desarrollo de una politica de desarrollo seguro, mecanismos de diseño y desarrollo seguro, pruebas de intrusion y revision de seguridad en código fuente.

Exortamos a las organizaciones a unirse a la creciente lista de compañias que han adoptado la lista de las 10 mayores como el estándar mínimo y se han comprometido a producir aplicaciones Web que no contienen esta vulnerabilidades.

Hemos escogido presentar a esta lista en un formato similar a el altamente exitoso Top 20 del SANS/FBI de manera que se facilite su uso y entendimiento. La lista de SANS esta enfocada en las fallas en productos de red e infraestructura particularmente muy usados. Porque cada sitio Web es único, la lista del OWASP Top 10 esta organizada al rededor de tipos y categorias de vulerabilidades particulares que ocurren frecuentemente en la aplicaciones Web. Estas categorias estan siendo estandarizadas en el proyecto de seguridad en aplicaciones Web de OASIS (OASIS Web Application Security (WAS) XML Project).

Esta lista representa la sabiduria combinada de los expertos de OWASP, cuya experiencia incluye muchos años de trabajo en seguridad en aplicaciones para gobierno, servicios financieros, farmacéuticos y de manofactura, tambien como desarrolladores de herramientas y tecnología. Este documento esta diseñado para presentar las vulnerabilidades mas serias en aplicaciones web. Hay muchos libros y guías que describen estas vulnerabilidades en mas detalle y proveen lineamientos sobre como eliminarlas. Tales lineamientos estan en la lista de guía de OWASP disponible en http://www.owasp.org.

el Top 10 de OWASP es un documento en constante progreso. Incluye instrucciones y ayudas a información adicional útil para corregir estos tipos de fallas de seguridad. Actualizamos la lista y las instrucciones conforme mas amenzas críticas y mas métodos convenientes y actuales sean identificados. Le damos la bienvenida por su retroalimentación en el camino. Este es un documento de concenso en la comunidad - Su experiencias al combatir atacantes y eliminar vulnerabilidades pueden ayudar a otros que vienen despues de usted. Pro favor envie sugerencias via correo a topten@owasp.org con el asunto "OWASP Top Ten Comments.”