Sec-Track

FAQ OWASP: Preguntas Frecuentes sobre Seguridad en Aplicaciones Web

Posted by 4v4t4r On mayo - 24 - 2010

Hace varios años tuve el placer de conocer este magnífico FAQ sobre Seguridad en Aplicaciones Web desarrollado por OWASP. Recientemente volví a encontar el documento (pdf) y un website habilitado por OWASP para consultarlo On-Line.

Si bien es cierto que la fecha de publicación del documento está un poco antigua, también es cierto que cada uno de estos temas siempre estarán vigentes en nuestro día a día como consultores, desarrolladores e investigadores en Seguridad de la Información.

Dejo un listado con algunas de las preguntas cubiertas en el documento:

  • ¿Cuáles son las amenazas más usuales en las aplicaciones Web?
  • ¿Qué libros son aconsejables para aprender técnicas o prácticas de programación segura?
  • Hay algún programa de entrenamiento sobre programación segura al cual pueda atender?
  • ¿Qué aspectos debo recordar a la hora de diseñar las páginas de inicio de sesión (login)?
  • ¿Cómo funciona la técnica MD5 con sal (salted-MD5)?
  • ¿Como puede ser explotada mi función de recordatorio de contraseña?
  • En la función de recordar contraseña, ¿Es mejor mostrar la contraseña o permitir al usuario reestablecerla?
  • ¿Y si el atacante a plantado un registrador de tecleos (Keystroke logger) en la computadora cliente? ¿Puedo contrarestar esto?
  • ¿Qué es la inyección de SQL?
  • Además del usuario y contraseña, ¿qué otras variables son candidatas para la inyección de SQL en nuestras aplicaciones?
  • ¿Cómo evitamos ataques de inyección de SQL?
  • Estoy usando procedimientos almacenados para la autenticación, ¿soy vulnerable?
  • ¿Qué información puede ser manipulada por un atacante?
  • ¿Cómo manipulan los atacantes la información? ¿Qué herramientas usan?
  • ¿Cómo puede usarse la memoria rápida (cache) del navegador para realizar ataques?
  • ¿Qué es el XSS?
  • ¿Qué información puede robar un atacante mediante XSS?
  • ¿Cómo puedo evitar ataques XSS?
  • ¿Cómo identifican los atacantes qué servidor Web estoy usando?
  • Una vez falsificado el banner,¿puede mi servidor Web ser identificado?
  • Quiero encadenar un software de tipo proxy con mi servidor proxy, ¿existen herramientas que permitan hacerlo?
  • ¿No pueden ser automatizadas las pruebas? ¿Existen herramientas que pueda correr contra mi aplicación?
  • ¿Dónde puedo realizar mis pruebas? ¿Existe una aplicación Web con la que pueda practicar?
  • Qué son las cookies seguras?
  • ¿Puede otro sitio Web robar las galletas que mi sitio Web almacena en la máquina de un usuario?
  • ¿Cuál es el mejor método para transmitir identificadores de sesión: en galletas, en la URL o en variables ocultas?
  • ¿Qué son los registros W3C?
  • ¿Qué debo registrar en el registros de mi aplicación?
  • ¿Debería usar SSL de 40 o de 128 bits?
  • ¿Realmente SSL de 40 bits es inseguro?
  • ¿Qué son los cortafuegos de aplicación? ¿Qué tan buenos son en realidad?
  • ¿En qué consisten los registros referrer (referrer logs) y las URLs sensibles?
  • ¿Quiero usar el lenguaje más seguro?¿Cuál es más recomendable?

Sitio Web oficial del proyecto FAQ OWASP

Descargar documento FAQ OWASP (PDF)

Test de Penetración

2 Responses to “FAQ OWASP: Preguntas Frecuentes sobre Seguridad en Aplicaciones Web”

  1. dh4rm4n says:
    %d 29UTC %B 29UTC %Y at %H:%M 12Sat, 29 May 2010 12:01:06 +000006.

    Gracias por el doc, estaba interesante.

  2. jam3s says:
    %d 07UTC %B 07UTC %Y at %H:%M 12Sat, 07 Aug 2010 00:28:21 +000021.

    Gracias por el doc, estaba interesante.
    +1