OWASP
Open Web Application Security Project (OWASP) JR Palacios Robles 20013389 Universidad Galileo Seguridad de la Informació
Views 129 Downloads 0 File size 272KB
Recommend stories
- Author / Uploaded
- PalaciosJorge
Citation preview
Open Web Application Security Project (OWASP) JR Palacios Robles 20013389 Universidad Galileo Seguridad de la Información [email protected] Resumen OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto abierto de seguridad de aplicaciones web’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera. . Palabras Claves: Herramientas; Vulnerabilidades; Riesgos. Desarrollo del tema OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informáticas. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías. Los documentos con más éxito de OWASP incluyen la Guía OWASP y el ampliamente adoptado documento de autoevaluación OWASP Top 10. Las herramientas OWASP más usadas incluyen el entorno de formación WebGoat, la herramienta de pruebas de penetración WebScarab y las utilidades de seguridad para entornos .NET OWASP DotNet. OWASP cuenta con unos 50 capítulos locales por todo el mundo y miles de participantes en las listas de correo del proyecto. OWASP ha organizado la serie de conferencias AppSec para mejorar la construcción de la comunidad de seguridad de aplicaciones web. En OWASP, encontrará de forma abierta y gratuita: • Herramientas y estándares de seguridad en aplicaciones. • Libros completos de revisiones de seguridad en aplicaciones, desarrollo de código fuente seguro y revisiones de seguridad en código fuente • Presentaciones y videos. • Hojas de trucos en varios temas comunes. • Controles de seguridad estándar y bibliotecas. • Capítulos locales en todo el mundo. • Investigaciones de vanguardia. • Numerosas conferencias alrededor del mundo. • Listas de correo. OWASP Top 10 – 2017 Es una importante actualización que agrega varios puntos nuevos, incluyendo dos seleccionados por la comunidad –A8:2017 Deserialización insegura y A10:2017 Registro, Detección y Respuestas Activas Insuficientes. Dos
diferenciadores clave sobre las versiones anteriores del OWASP Top 10 son las notables devoluciones de la comunidad y la gran cantidad de datos recopilados de docenas de organizaciones, siendo posiblemente la mayor cantidad de datos jamás reunidos en la preparación de un estándar de seguridad de aplicaciones. Esto nos da la confianza de que el nuevo OWASP Top 10 aborda los riesgos de seguridad de aplicaciones más impactantes que enfrentan las organizaciones en la actualidad El OWASP Top 10 - 2017 se basa principalmente en el envío de datos de más de 40 empresas que se especializan en seguridad de aplicaciones y una encuesta de la industria que fue completada por más de 500 personas. Esta información abarca vulnerabilidades recopiladas de cientos de organizaciones y más de 100.000 aplicaciones y APIs del mundo real. Las 10 principales categorías fueron seleccionadas y priorizadas de acuerdo con estos datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto. Uno de los principales objetivos del OWASP Top 10 es educar a los desarrolladores, diseñadores, arquitectos, gerentes y organizaciones sobre las consecuencias de las debilidades más comunes e importantes de la seguridad de las aplicaciones web. El Top 10 proporciona técnicas básicas para protegerse contra estas áreas con problemas de riesgo alto, y proporciona orientación sobre cómo continuar desde allí.
Observaciones y comentarios Es bueno saber que existen organizaciones que están dispuestas a compartir públicamente sus datos sobre vulnerabilidades. Todos esperamos que esto continúe para que siga creciendo y aliente a más organizaciones a hacer lo mismo. Conclusiones Como es de nuestro conocimiento los atacantes pueden, potencialmente, utilizar diferentes rutas a través de las aplicaciones para perjudicar nuestra empresa u organización. Cada uno de estos caminos representa un riesgo que puede o no ser suficientemente grave como para merecer atención. El OWASP Top 10 se enfoca en identificar los riesgos más críticos para un amplio tipo de organizaciones. Para cada uno de estos riesgos, se proporciona información genérica sobre la probabilidad y el impacto técnico, utilizando un esquema de evaluación, basado en la Metodología de Evaluación de Riesgos. e-grafía 27/09/2019, https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf 27/09/2019, https://es.wikipedia.org/wiki/Open_Web_Application_Security_Project