Actividad colaborativa Fase III
Universidad Nacional Abierta y a Distancia 'UNAD
Resumen En este documento se describe en detalle cada una
de las vulnerabilidades del top 10 emitidas por OWASP, de igual
forma se da a conocer la forma de prevenir cada una de estas
vulnerabilidades y las herramientas con las que se pueden
contar para realizar el anlisis de las diferentes aplicaciones.
Palabras clave OWASP, vulnerabilidades, aplicaciones,
software.
Abstract This document describes in detail each of the
vulnerabilities of the top 10 issued by OWASP, as well as how to
prevent each of these vulnerabilities and the tools that can be
used to perform the analysis of the vulnerabilities. different
applications.
Keywords OWASP, vulnerabilities, applications,
software.
I. INTRODUCCIN
OWASP Es una organizacin sin nimo de lucro la cual se
dedica a mejorar la seguridad de las aplicaciones y
del software en general, tiene como objetivo principal dar a
conocer el top 10 de los riesgos ms comunes en las
aplicaciones web, al igual brinda las tcnicas para protegerse
de estos riesgos, el top 10 est orientado a generar
conocimiento en los desarrolladores, arquitectos de software y
organizaciones.
II. TOP 10 DE OWASP 2013
Disponible en: https://www.owasp.org/images/5/5f/OWASP_Top_10_-
_2013_Final_-_Espa%C3%B1ol.pdf
III. A 1-INYECCIN
Las fallas de inyeccin, como SQL, OS e inyeccin de LDAP
ocurren cuando los datos que no son de confianza se envan a
un intrprete como parte de un comando o consulta. Los datos
hostiles del atacante pueden engaar al intrprete para que
ejecute comandos no deseados o acceda a los datos sin la
debida autorizacin.
Cmo evito la "inyeccin"?
Evitar la inyeccin requiere mantener los datos que no son de
confianza separados de los comandos y las consultas.
1. La opcin preferida es usar una API segura que evite por
completo el uso del intrprete o proporcione una interfaz
parametrizada. Tenga cuidado con las API, como los
procedimientos almacenados, que estn parametrizados, pero
an puede introducir la inyeccin debajo del cap.
2. Si una API parametrizada no est disponible, debe escapar
cuidadosamente de los caracteres especiales utilizando la
sintaxis de escape especfica para ese intrprete. El ESAPI de
OWASP proporciona muchas de estas rutinas de escape.
3. Tambin se recomienda la validacin de entrada positiva o
de "lista blanca", pero no es una defensa completa ya que
muchas aplicaciones requieren caracteres especiales en su
entrada. Si se requieren caracteres especiales, solo los
enfoques 1. y 2. Anteriores harn que su uso sea seguro.
Opcin de defensa 1: declaraciones preparadas (con consultas
parametrizadas)
El uso de declaraciones preparadas con un enlace variable
(tambin conocido como consultas parametrizadas) es la
forma en que a todos los desarrolladores se les debe ensear
primero cmo escribir consultas en la base de datos.
Defensas adicionales
Adems de adoptar una de las cuatro defensas principales,
tambin recomendamos adoptar todas estas defensas
adicionales para proporcionar defensa en profundidad. Estas
defensas adicionales son:
Privilegios mnimos
Validacin de entrada de lista blanca.
Java EE: use PreparedStatement () con variables de
vinculacin

 .NET: use consultas parametrizadas como SqlCommand ()
o OleDbCommand () con variables de vinculacin
PHP: use PDO con consultas parametrizadas fuertemente
tipadas (utilizando bindParam ())
Hibernate: use createQuery () con variables de vinculacin
(llamados parmetros nombrados en Hibernate)
SQLite: use sqlite3_prepare () para crear un objeto de
declaracin
Privilegios mnimos
Para minimizar el dao potencial de un ataque de inyeccin
SQL exitoso, debe minimizar los privilegios asignados a cada
cuenta de base de datos en su entorno. No asigne derechos de
acceso de tipo DBA o administrador a sus cuentas de
aplicaciones.
Hoja de referencia de SQL Injection
Qu es una hoja de trucos de inyeccin de SQL?
Una hoja de referencia de inyeccin SQL es un recurso en el
que puede encontrar informacin tcnica detallada sobre las
diferentes variantes de la vulnerabilidad de inyeccin de SQL.
Esta hoja de referencia es una buena referencia tanto para el
probador de penetracin experimentado como para aquellos
que recin estn empezando a utilizar la seguridad de las
aplicaciones web.
Acerca de la hoja de trucos de SQL Injection
Esta trampa de inyeccin SQL fue publicada originalmente en
2007 por Ferruh Mavituna en su blog. Lo hemos actualizado
y trasladado desde el blog de nuestro CEO. Actualmente, esta
Hoja de referencia de SQL solo contiene informacin para
MySQL , Microsoft SQL Server y cierta informacin limitada
para los servidores SQL de ORACLE y PostgreSQL . Es
posible que algunas de las muestras de esta hoja no funcionen
en todas las situaciones porque los entornos reales pueden
variar segn el uso de parntesis, diferentes bases de cdigos
y sentencias SQL inesperadas, extraas y complejas.
HERRAMIENTAS
El WAF solo es una herramienta complementaria y no
pretende sustituir las medidas de proteccin que el
desarrollador tiene que llevar a cabo al programar una
aplicacin.
Se trata de un dispositivo fsico que analiza el trfico web
(entre el servidor web y la WAN), los datos recibidos por
parte del usuario y protege de diferentes ataques web como:
SQL Injection, Cross Site Scripting, Remote and Local File
Inclusion, , Buffer Overflows, Cookie Poisoning, etc. Este
dispositivo, trata de proteger de los ataques dirigidos al
servidor web que los IDS/IPS no nos pueden defender.
IV. A2-BROKEN AUTHENTICATION Y SESSION MANAGEMENT
Las funciones de aplicacin relacionadas con la autenticacin
y la gestin de sesiones a menudo no se implementan
correctamente, lo que permite a los atacantes comprometer
contraseas, claves o tokens de sesin, o explotar otras fallas
de implementacin para asumir las identidades de otros
usuarios.
Agentes de amenaza
Aplicacin especfica
Considere a los atacantes externos annimos, as como a los
usuarios con sus propias cuentas, que pueden intentar robar
cuentas de otros. Tambin considere a los informantes que
quieren disfrazar sus acciones.
Vectores de ataque
Explotabilidad
PROMEDIO
El atacante usa fugas o fallas en las funciones de
autenticacin o administracin de sesiones (p. Ej., Cuentas
expuestas, contraseas, ID de sesin) para suplantar a los
usuarios.
Debilidad de seguridad
Predominio Detectabilidad
EXTENDIDO PROMEDIO
Los desarrolladores suelen crear esquemas personalizados
de autenticacin y gestin de sesiones, pero construirlos
correctamente es difcil. Como resultado, estos esquemas
personalizados frecuentemente tienen fallas en reas tales
como cierre de sesin, administracin de contraseas,
tiempos de espera, recordarme, preguntas secretas,
actualizacin de cuentas, etc. Encontrar estos defectos a
veces puede ser difcil, ya que cada implementacin es
nica.
Impactos tcnicos
Impacto
GRAVE
Tales defectos pueden permitir que algunas o incluso todas
las cuentas sean atacadas. Una vez que tiene xito, el
atacante puede hacer cualquier cosa que la vctima pueda
hacer. Las cuentas con privilegios son frecuentemente
dirigidas.
Impactos comerciales
Aplicacin / especfico del negocio
Considere el valor comercial de los datos afectados o las
funciones de la aplicacin.
Tambin considere el impacto comercial de la exposicin
pblica de la vulnerabilidad.
Cmo evito 'autenticacin y administracin de sesiones
rotas'?
La principal recomendacin para una organizacin es poner a
disposicin de los desarrolladores:
1. Un nico conjunto de slidos controles de autenticacin y
administracin de sesiones.Dichos controles deberan
esforzarse para:
1. cumpla con todos los requisitos de autenticacin y
administracin de sesin definidos en las reas V2
(Autenticacin) y V3 (Gestin de sesiones) del Estndar de
verificacin de la seguridad de la aplicacin (ASVS) de
OWASP.
2. tener una interfaz simple para desarrolladores. Considere
el Autenticador ESAPI y las API de usuario como buenos
ejemplos para emular, usar o construir.
2. Tambin se deben realizar grandes esfuerzos para evitar
fallas XSS que se puedan usar para robar identificaciones de
sesin
HERRAMIENTAS
Wireshark, antes conocido como Ethereal, es un analizador
de protocolos utilizado para realizar anlisis y solucionar
problemas en redes de comunicaciones.
V. A3 SECUENCIA DE COMANDOS EN SITIOS
CRUZADOS (XSS)
Los errores en la secuencia de comandos en sitios cruzados es
una vulnerabilidad en las pginas WEB y aplicaciones de
confianza, mediante secuencias de comando en sitios
cruzados distribuyen malware libremente a miles de personas
que navegan en un sitio web
Esta vulnerabilidad puede ser reflejada o almacenada
Reflejada
Una ventana emergente aparece, pero se debe lograr que la
vctima ejecute un determinado comando por lo general
suelen en enviar correo engaosos para que den click en un
enlace disfrazado
Almacenada: inserta cdigo en un sitio web vulnerable el
cual la persona confa y de esta forma se puede realizar el
ataque
Esta vulnerabilidad se produce a la falta o poco controlo sobre
nuestros sitios web. Dentro de los scripts si bien estos ayudan
a la automatizacin de tareas tambin pueden ser utilizados
para automatizar ataques
Esta secuencia de comandos sirve los hackers las pueden
utilizar para recopilacin de datos personales, el re
direccionamiento de las vctimas a sitios controlados por
hackers y el control del equipo por parte de estos.
Estos ataques se producen a travs de debilidades del servidor
web estos envan datos e informacin a nuestro navegador
constantemente y all los ataques xss pueden enviar contenido
malicioso
Solucionar Las vulnerabilidades de las xss depende del dueo
del sitio web en a actualidad existen herramientas online que
detectan este tipo de vulnerabilidades
Estos ataques no se se pueden reconocer pero su pueden
prevenir de la siguiente forma
Contar con un buen software de antivirus legal y
actualizado
Estar actualizando por lo menos una vez al mes las
actualizaciones de software tanto para Linux como Windows
que requiera nuestro equipo
Descargar algn software que verifique si el sitio web tiene
alguna vulnerabilidad
VI. A4 REFERENCIA DIRECTA INSEGURA A OBJETOS
Algunas aplicaciones dan permisos a los usuarios en
aplicaciones web deja ver datos a informacin del cdigo que
no se debera mostrar estas vulnerabilidades dejan acceder a
funcionalidades y en algunos casos a datos no autorizados
permitiendo la modificacin de perfiles de acceso y robo de
informacin.
Para saber si soy vulnerable
Se deben verificar las referencias inseguras
En referencias directas la aplicacin requiere validar si el
usuario esta autorizado a acceder a donde quiere
Si la referencia directa se debe limitar a valores permitidos.
VII. A9. USO DE COMPONENTES CON
VULNERABILIDADES CONOCIDAS
Esta vulnerabilidad hace referencia al uso de diferentes
componentes como lo son libreras, frameworks y diferentes
mdulos de funciones a nivel de software las cuales cuentan
con todos los privilegios (2)
COMO EVITARLOS
Por medio de la actualizacin de los componentes y
verificando el histrico de revisiones para comprobar las
mejoras de seguridad implementadas.
Otra opcin es no usar componentes que no se han codificado.
Para los proyectos de software se deberan realizar las
siguientes actividades (3):
Identificar todos los componentes y la versin que
estn ocupando, incluyendo dependencias, por
ejemplo, el plugin de versin.
Revisar la seguridad del componente en bases de
datos pblicas, lista de correos del proyecto, y lista
de correo de seguridad, y mantenerlos actualizados.
Establecer polticas de seguridad que regulen el uso
de componentes, como requerir ciertas prcticas en
el desarrollo de software, pasar test de seguridad, y
licencias aceptables.
Agregar capas de seguridad alrededor del
componente para deshabilitar funcionalidades no
utilizadas y/o asegurar aspectos dbiles o vulnerables
del componente.
HERRAMIENTAS
Dependency Check: Es una herramienta que nos permite
analizar todas las dependencias de las aplicaciones y
comprobar si existen vulnerabilidades dentro de ellas.
VIII. A10. REDIRECCIONES Y REENVOS NO VALIDOS
Esta vulnerabilidad hace referencia a los errores en el
tratamiento de redirecciones y uso de datos no confiables
como destino, este tipo de ataque ocurre cuando, al
redireccionar al usuario a otra pgina, no se comprueba que el
destino sea vlido. Es por esto que se puede redirigir a un
usuario a una pgina que contenga contenido malicioso para
robar las credenciales o informacin del usuario (2).
COMO EVITARLOS
Evitando el uso de redirecciones y reenvos.
Si se utiliza, no involucrar parmetros manipulables
por el usuario para definir el destino.
Si los parmetros de destino no pueden ser evitados,
lo recomendable es asegurarse que el valor
suministrado sea vlido y autorizado para el usuario.
Se recomienda que el valor de cualquier parmetro
de destino sea un valor de mapeo, el lugar de la
direccin URL real o una porcin de esta y en el
cdigo del servidor traducir dicho valor a la
direccin URL de destino.
Las aplicaciones pueden utilizar ESAPI para
sobrescribir el mtodo sendRedirect() y asegurarse
que todos los destinos redirigidos son seguros (3).
COMO IDENTIFICARLOS
Revisar el cdigo para detectar redirecciones o
reenvos, identificar si la URL se incluye en el valor
de un parmetro y si est validada con una lista
blanca.
Modificar la URL de destino en caso de redireccin
de cdigos de respuesta DTTP 300-307, tpicamente
302, observando los parmetros antes de la
redireccin si son una URL de destino o un recurso
de la misma.
Revisar si cada parmetro forma parte de una
redireccin o un reenvo de una URL de destino y
probar que hace.
HERRAMIENTAS
Zed Attack Proxy: Es una herramienta de pentesting que
permite encontrar vulnerabilidades en nuestras aplicaciones.
OWTF: Es una herramienta de pentesting con la cual se
pueden realizar anlisis de vulnerabilidades (3).
IX. CONCLUSIONES
La importancia de conocer las vulnerabilidades y cada uno de
los mecanismos con los cuales se pude corregir los riesgos
con el fin de salvaguardar las aplicaciones web. OWASP
adems de brindarnos el top 10 de las vulnerabilidades
tambin nos da a conocer algunas herramientas que se pueden
utilizar para realizar anlisis de las diferentes aplicaciones.
OWASP pretende Establecer y utilizar procesos de
seguridad repetibles y controles de seguridad estndar
OWASP busca ayudar a las organizaciones y
desarrolladores a reducir los riesgos de seguridad de sus
aplicaciones de una manera rentable
OWASP busca ayudar desarrolladores, evaluadores y
especialistas en seguridad de aplicaciones a comprender cmo
probar de manera eficiente y efectiva la seguridad de las
aplicaciones web.

X. REFERENCIAS

[1] LILIANA cjar bahamn, gua de buenas prcticas para

el desarrollo de aplicaciones web seguras, orientadas a la
formacin de programadores disponible en:
http://liliseguridadinformatica.webnode.es/guia-de-
uenas-practicas/diseno/a10/ .
[2] Blog Pokytools, Biblioteca de artculos y noticias de
tecnologa recopiladas de la web, Que es OWASP, (2017),
disponible de: https://www.pokytools.cl/blog/archivo/531

[3] OWASP top 10 2013 Release, 2013, disponible en:

https://www.owasp.org/images/5/5f/OWASP_Top_10_-
_2013_Final_-_Espa%C3%B1ol.pdf

[4] [1]https://www.owasp.org/index.php/Top_10_2013-A1-
Injection
[5] [2]
https://www.owasp.org/images/5/5f/OWASP_Top_10_-
_2013_Final_-_Espa%C3%B1ol.pdf
[6] [3]Artculo de OWASP sobre vulnerabilidades de
inyeccin SQL
[7] Artculo de OWASP sobre Vulnerabilidades de
Blind_SQL_Injection.

[8] [4]Wireshark | Oficina de Seguridad del Internauta

https://www.osi.es/es/herramientas-gratuitas/wireshark
[9] https://www.owasp.org/images/5/5f/OWASP_Top_10_-
_2013_Final_-_Espa%C3%B1ol.pdf
[10] https://www.avast.com/es-es/c-xss
[11] http://www.encb.ipn.mx/unidadInformatica/udiTips/UDI
Tip_30.pdf
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/4
3263/3/gnupabloTFM0715memoria.pdf