Lista de tareas / tareas pendientes de seguridad web

18

¿Alguien puede sugerir una hoja de trucos o una lista de tareas pendientes del sitio web y la seguridad de la aplicación?

El propietario de una pequeña empresa local hizo una pregunta sobre la seguridad web, básicamente el sitio web de su empresa acaba de ser atacado por XSS la semana pasada. Pasé algo de tiempo libre para resaltar dónde debería dedicar tiempo a arreglar en el futuro. Dado que subcontrató su sitio web, ¿hay alguna hoja de trucos o lista de tareas en línea sobre seguridad web que pueda compartir con ella? (No limitado a XSS)

    
pregunta Glorithm 09.04.2011 - 05:16
fuente

4 respuestas

22

Siempre existe la Lista de vulnerabilidades web de OWASP

Un pequeño resumen de cada uno del informe de OWASP:

  1. Inyección : fallas de inyección, como las inyecciones de SQL, OS y LDAP, se producen cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no intencionados o acceda a datos no autorizados.

  2. Secuencias de comandos entre sitios : las fallas de XSS ocurren cuando una aplicación toma datos que no son de confianza y los envía a un navegador web sin la validación y el escape adecuados. XSS permite a los atacantes ejecutar scripts en el navegador de la víctima que pueden secuestrar sesiones de usuario, modificar sitios web o redirigir al usuario a sitios maliciosos.

  3. Autenticación rota y administración de sesión : las funciones de la aplicación relacionadas con la autenticación y la administración de sesión a menudo no se implementan correctamente, lo que permite a los atacantes comprometer contraseñas, claves, tokens de sesión o explotar otras fallas de implementación para asumir las identidades de otros usuarios.

  4. Referencias directas inseguras sobre objetos : se produce una referencia directa al objeto cuando un desarrollador expone una referencia a un objeto de implementación interna, como un archivo, un directorio o una clave de base de datos. Sin una verificación de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder a datos no autorizados.

  5. Falsificación de solicitudes entre sitios (CSRF, por sus siglas en inglés) : un ataque CSRF obliga al navegador de una víctima que ha iniciado sesión a enviar una solicitud HTTP falsificada, incluida la cookie de sesión de la víctima y cualquier otra autenticación incluida automáticamente. Información, a una aplicación web vulnerable. Esto permite al atacante forzar el navegador de la víctima para generar solicitudes que la aplicación vulnerable considera que son solicitudes legítimas de la víctima.

  6. Configuración errónea de seguridad : la buena seguridad requiere tener una configuración segura definida e implementada para la aplicación, marcos, servidor de aplicaciones, servidor web, servidor de base de datos y plataforma. Todas estas configuraciones deben definirse, implementarse y mantenerse, ya que muchas no se envían con valores predeterminados seguros. Esto incluye mantener actualizado todo el software, incluidas todas las bibliotecas de códigos utilizadas por la aplicación.

  7. Almacenamiento criptográfico inseguro : muchas aplicaciones web no protegen adecuadamente los datos confidenciales, como tarjetas de crédito, números de Seguro Social y credenciales de autenticación, con el cifrado o hashing adecuado. Los atacantes pueden robar o modificar dichos datos protegidos de forma deficiente para realizar robos de identidad, fraudes con tarjetas de crédito u otros delitos.

  8. Error al restringir el acceso a la URL : muchas aplicaciones web verifican los derechos de acceso a la URL antes de mostrar enlaces y botones protegidos. Sin embargo, las aplicaciones deben realizar controles de control de acceso similares cada vez que se accede a estas páginas, o los atacantes podrán falsificar las URL para acceder a estas páginas ocultas de todos modos.

  9. Protección insuficiente de la capa de transporte : las aplicaciones con frecuencia no autentican, cifran ni protegen la confidencialidad y la integridad del tráfico de red sensible. Cuando lo hacen, a veces admiten algoritmos débiles, utilizan certificados caducados o no válidos, o no los usan correctamente.

  10. Redirecciones y reenvíos no validados : las aplicaciones web a menudo redirigen y reenvían a los usuarios a otras páginas y sitios web, y usan datos que no son de confianza para determinar las páginas de destino. Sin la validación adecuada, los atacantes pueden redirigir a las víctimas a sitios de phishing o malware, o usar reenvíos para acceder a páginas no autorizadas.

respondido por el Jeremy Powell 09.04.2011 - 06:55
fuente
5

El Proyecto MITRE CWE enumera las debilidades del software y el Proyecto MITRE CAPEC enumera las vías para la enumeración de rutas de ataque contra aplicaciones.

Ambos forman parte del proyecto Making Security Measurable , que abarca aspectos como CVE, que espero que hayas escuchado. Si no, hágamelo saber a través de comentarios y les daré una introducción más accesible. CVE, CWE y CAPEC son los primeros 3 proyectos enumerados en este enlace de página.

    
respondido por el atdre 09.04.2011 - 18:13
fuente
2

Top 10 de OWASP o WASC Threat Classification podría ofrecerle una buena descripción general de lo que podría probarse y en qué debería centrarse. Si desea profundizar, la Guía de pruebas de OWASP es un recurso excelente (también puede ayudarlo a crear una especie de "lista de verificación", que se ajusta a los requisitos de seguridad de su aplicación web).

    
respondido por el bretik 09.04.2011 - 13:31
fuente
1

El Open Web Application Security Project (OWASP) publica regularmente una lista de problemas de seguridad comunes: 2004 , < a href="https://www.owasp.org/index.php/Top_10_2007"> 2007 , 2010

Sobre el tema de XSS: La Hoja de trucos para la prevención de secuencias de comandos entre sitios ofrece una gran cantidad de información sobre cómo evitar la vulnerabilidad XSS. La Hoja de trucos de XSS enumera las vulnerabilidades comunes de los sistemas de seguridad (dss) a los casos faltantes en la lógica de escape.

    
respondido por el Hendrik Brummermann 09.04.2011 - 09:26
fuente

Lea otras preguntas en las etiquetas