Segu-Info &

ArtsSEC

Introducción a

OWASP TOP Ten 2017

Segu-Info &

ArtsSEC

Quiénes

somos?

@maxisoler

Maxi Soler

@artsweb

Marcos

García

@seguinfo

Cristian Borghello

OWASP

¿Qué es

OWASP?

Open Web Application

Security Project.

ONG que proporciona

recursos gratuitos para la

comunidad.

● guías de desarrollo

seguro,

● guías de pruebas de

seguridad,

● herramientas

OWASP Top Ten

¿Qué es el

OWASP TOP

Ten?

Es un documento de los

diez riesgos de seguridad

más importantes en

aplicaciones web según la

organización OWASP.

Evolución y Diferencias

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

Comparativa 2013 vs 2017

A1

Injection

Las fallas de inyección,

tales como SQL, OS, y

LDAP, ocurren cuando datos

no confiables son enviados

a un intérprete como parte

de un comando o consulta.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A1. InjectionRecomendaciones:

● Siempre desconfiar de las entradas y salidas.

● Usar variables parametrizadas en todas las sentencias preparadas.

● Procedimientos almacenados.

● Evitar consultas dinámicas.

A2

Broken

Authentication

Las funciones relacionadas

a autenticación y gestión

de sesiones a veces se

implementan de forma

errónea, permitiendo a los

atacantes comprometer

datos sensibles y asumir

la identidad de otros

usuarios.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A2. Broken Authentication

Recomendaciones:

● Evitar exponer sesiones de usuarios.

● Transmitir datos de sesión de forma segura.

● Almacenar de forma segura las contraseñas (HASH o Cifradas)

● Utilizar un único conjunto de autenticación y gestión de sesiones fuerte.

● Leer Application Security Verification Standard (ASVS) de OWASP.

A3

Sensitive Data

Exposure

Muchas aplicaciones Web no

protegen adecuadamente

datos sensibles. Estos

requieren de métodos de

protección adicionales

tales como el cifrado y

precauciones especiales en

un intercambio de datos

con el navegador.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A3. Sensitive Data ExposureRecomendaciones:

● Jamás almacenar en texto plano.

● Jamás transmitir en texto plano.

● Utilizar algoritmos estandarizados altos.

● Generar y rotar claves de forma periódica.

● No almacenar datos sensibles innecesariamente.

A4

XML External

Entities (XXE)

Los atacantes pueden

explotar XML vulnerable si

pueden cargar XML o

incluir contenido

malicioso en un documento

XML, a través de código

vulnerable, dependencias o

integraciones.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A4. XML External Entities (XXE)

Recomendaciones:

● Validar y definir las entidades XML.

● Evitar serializar datos confidenciales.

● Actualizar los procesadores XML y bibliotecas.

● Utilizar herramientas SAST y verificaciones manuales.

A5

Broken

Access

Control

La mayoría de las

aplicaciones Web verifican

los privilegios de acceso

a nivel de función antes

de hacer visible las

funcionalidades en la

interfaz de usuario.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A5. Broken Access Control

Recomendaciones:

● Denegar de manera predeterminada.

● Implementar mecanismos de acceso único y por registro.

● Restringir la manipulación de datos de sesión.

● Deshabilitar el listado de directorios.

● Registrar errores de control de acceso.

A6

Security

Misconfigurati

on

Un atacante se aprovecha

de errores de

configuración para obtener

acceso no autorizado o

conocimiento del sistema.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A6. Security Misconfiguration

Recomendaciones:

● Actualizar software y sistema operativo.

● Deshabilitar características y funcionalidades innecesarias.

● Configurar de forma segura los frameworks de desarrollo.

● Utilizar una arquitectura fuerte de aplicación, con división de componentes.

● Manejar de forma correcta los errores.

A7

Cross-Site

Scripting

(XSS)

El atacante envía texto

que son secuencias de

comandos de ataque que

explotan el intérprete del

navegador.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A7. Cross-Site Scripting (XSS)

Recomendaciones:

● Codificar y validar todas las entradas y salidas.

● Utilizar la política de CSP (Content-Security-Policy).

● Implementar flags de Seguridad en las Cookies.

● Reutilizar librerías para proteger las aplicaciones de XSS.

● Evitar utilizar listas blancas.

A8

Insecure

Deserialization

La explotación de la

deserialización es algo

difícil, explotaciones de

estas vulnerabilidades

raramente funcionan sin

modificar el código del

exploit.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A8. Insecure Deserialization

Recomendaciones:

● No aceptar objetos serializados de fuentes no confiables.

● Aplicar restricciones estrictas durante la deserialización.

● Implementar comprobaciones de integridad en cualquier objeto serializado.

● Registrar excepciones y fallas de deserialización.

● Restringir o monitorear la conectividad de red entrante y saliente.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

Escenario #1: Un foro de PHP utiliza la serialización de objetos PHP para guardar una "super" cookie, que contiene

el ID de usuario, el rol, el hash de contraseña y otro estado del usuario:

a:4:{i:0;i:132;i:1;s:7:"Mallory";i:2;s:4:"user";i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}

Un atacante cambia el objeto serializado para otorgarse privilegios de administrador:

a:4:{i:0;i:1;i:1;s:5:"Alice";i:2;s:5:"admin";i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}

A8. Insecure Deserialization

A9

Using

Components

with Known

Vulnerabilities

El atacante identifica un

componente débil a través

de escaneos automáticos o

análisis manuales.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A9. Using Components with Known

Vulnerabilities

Recomendaciones:

● Identificar todos los componentes y la versión que se utilizan.

● Revisar la seguridad de los componentes en bases de datos públicas, listas de correo, etc.

● Deshabilitar funcionalidades no utilizadas.

● Escanear con frecuencia los diferentes componentes y aplicaciones.

● Establecer políticas de seguridad que regulen el uso de componentes.

A10

Insufficient

Logging &

Monitoring

La explotación de falta de

monitoreo y logging es la

base de casi todos los

incidentes importante.

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

A10. Insufficient Logging & Monitoring

Recomendaciones:

● Registrar inicios de sesión válidos, fallidos, transaccionales, entre otros.

● Supervisar registros de aplicaciones y APIs.

● Establecer un monitoreo y alerta efectiva, las actividades sospechosas sean detectadas y respondidas rápidamente.

● Determinar umbrales apropiados de alertas y procesos de escalamiento.

● Establecer o adoptar un plan de respuesta y recuperación antes incidentes.

Referencias

Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia

Segu-Info & ArtsSEC

OWASP Top 10 Most Critical Web Application Security Risks

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

CWE/SANS Top 25 Most Dangerous Software Errors

http://cwe.mitre.org/top25/

OWASP Testing Guide v4

https://www.owasp.org/index.php/OWASP_Testing_Project

OWASP Mutillidae II

https://sourceforge.net/projects/mutillidae/

OWASP Mutillidae II (Docker)

https://hub.docker.com/r/citizenstig/nowasp/

Burp Suite - Community Edition

https://portswigger.net/burp/communitydownload

Referencias

Preguntas?

Segu-Info &

ArtsSEC

Muchas

gracias!

@maxisoler

Maxi Soler

@artsweb

Marcos

García

@seguinfo

Cristian

Borghello