COMPLEMENTO OWASP:
Owaps nace como proyecto de código abierto a la respuesta de inseguridad de aplicaciones en la web, determinado a Advertir y combatir las causas por las cuales ocurre muchas de las vulnerabilidades en múltiples aplicaciones empresariales y de distinta índole. Gracias a ella nos permite acceder y conjuntamente colaborar para crear artículos relacionados con el tema, metodologías, herramientas y tecnologías que son liberadas y usadas gratuitamente para dicho fin.Los proyectos OWASP abarcan una gran cantidad de documentación y muchas de ellas son herramientas, aplicaciones para el escaneo, identificación, chequeo y protección ante posibles vulnerabilidades de diferentes riesgos, procedencias y proceder.En la documentación se presenta cada año una actualización del famoso Top-10 de Owasp, documento de alto nivel que se centra sobre la seguridad de las aplicaciones web. Muchos de sus temas, consideraciones o 10 pautas nos ayudan a realizar pruebas y revisiones para nuestra seguridad en las aplicaciones web de nuestra organización o personal. La mayoría de ellas advierten sobre algo en común que son las vulnerabilidades sobre algún tipo de inyección o introducción de secuencias de comandos, algún código malicioso de diferentes lenguajes, falta de control en la validación de entradas y salida y pobres técnicas criptografía de datos delicados. Estas nos permiten categorizarlas y medir su grado de afectación y penetración en nuestras aplicaciones.A1: InyecciónA2: Secuencia de comandos en sitios cruzados (XSS).A3: Perdida de autenticacion y gestion de sesionesA4: Referencia directa insegura a objetosA5: Falsificación de peticiones en sitios cruzados. (CSRF)A6: Defectuosa configuración de seguridadA7: Almacenamiento criptografico inseguro.A8: Falla de restriccion de acceso a url.A9: Proteccion insuficiente en la capa de transporte.A10: Redireccion y reenvios no validos.De las herramientas actualizadas que publica y pone a disposición OWASP podemos encontrar algunas que protegen de y actúan sobre las vulnerabilidades descriptas en el top-10 OWASP.Los siguientes son los proyectos OWASP que están aportando a la seguridad en aplicaciones para la web:OWASP AntiSamyEl proyecto OWASP AntiSamy. Técnicamente, es una API para asegurarse que las entradas HTML/CSS del usuario estén en cumplimiento con las reglas de la aplicación. Otra forma de decirlo podría ser: es una API que le ayuda a asegurarse que los clientes no provean código malicioso en el HTML que proveen para su perfil, comentarios, etc. Que se quedan almacenados en el servidor. AntiSamy es una desviación de todos los mecanismos contemporáneos de seguridad. Generalmente, los mecanismos de seguridad y los usuarios tienen una comunicación que es virtualmente de una vía, por una buena razón. Dejar al atacante potencial saber detalles acerca de la validación no se considera prudente, ya que permite que al atacante “aprenda” y “reconstruya” el mecanismo para debilidad. Estos tipos de fuga de información pueden también dañar en formas que usted no espera. Un mecanismo de ingreso que le dice al usuario, “Usuario invalido” revela el hecho de que un usuario con ese nombre no existe. Un usuario podría usar un diccionario o directorio telefónico o ambos para obtener remotamente una lista de usuarios válidos. Usando esta información, un atacante podría lanzar un ataque de fuerza bruta o negación de servicio masivo de bloqueo de cuentas.OWASP CAL9000Es una colección de herramientas de prueba de seguridad de aplicaciones web que complementan el conjunto de web proxies y escáners automáticos actuales. CAL9000 le da la flexibilidad y funcionalidad que necesita para aumentar la eficacia de las pruebas manuales. Funciona mejor cuando se usa con Firefox o Internet Explorer.CAL9000 está escrito en JavaScript, así que usted tiene completo acceso al código fuente. Siéntase libre de modificarlo para que se adapte mejor a sus necesidades particulares. CAL9000 tiene algunas características poderosas (como ejecutar cross-domainxmlHttpRequests y escribir a disco).OWASP CLASPCLASP (Proceso de seguridad en aplicación completo y ligero) proporciona un enfoque bien organizado y estructurado para mover las inquietudes de seguridad a las fases iniciales del ciclo de vida de desarrollo de software, cuando esto sea posible.CLASP es en realidad un conjunto de piezas de proceso que puede ser integrado en cualquier proceso de desarrollo de software. Está diseñado para ser fácil de adoptar y efectivo a la vez. Toma un enfoque prescriptivo, documentando las actividades que las organizaciones deberían estar haciendo. Y proporciona una amplia riqueza de recursos de seguridad que hacen razonable implementar esas actividades.OWASP DirBusterEs una aplicación Java multi hilo diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web/de aplicación. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalación por omisión no lo es, y tiene páginas y aplicaciones ocultas. DirBuster trata de encontrar estos.DirBuster también tiene la opción de realizar fuerza bruta pura, lo que no les deja lugar para esconderse a los archivos y directorios ocultos.OWASP EncodingLas aplicaciones web enfrentan un gran número de amenazas; una de ellas es cross-site scripting y ataques de inyección relacionados. El 90% de todas las aplicaciones web contiene ataques de cross-site scripting porque son fáciles de introducir, y las herramientas adecuadas no están siempre disponibles para prevenirlos. La biblioteca Reform proporciona un conjunto sólido de funciones para codificar la salida para los objetivos de contexto más comunes en aplicaciones web (por ejemplo: HTML, XML, JavaScript, etc.). La biblioteca también tiene una opinión conservadora de cuáles son los caracteres permitidos basado en vulnerabilidades históricas y técnicas actuales de inyección.OWASP Enterprise Security APILa ESAPI es una colección gratis y abierta de todos los métodos de seguridad que un desarrollador necesita para construir una aplicación Web segura. Usted puede usar solo las interfaces y construir su propia implementación usando la infraestructura de su compañía. O, puede usar la implementación de referencia como un punto de inicio. En concepto, la API es independiente del lenguaje. Sin embargo, los primeros entregables del proyecto son una API Java y una referencia de implementación Java. Esfuerzos para construir ESAPI en .NET y PHP están en marcha.Desafortunadamente, las plataformas disponibles, y herramientas (Java EE, Struts, Spring, etc…) simplemente no proporcionan protección suficiente. Esto deja a los desarrolladores con la responsabilidad de diseñar y construir mecanismos de seguridad.OWASP Insecure Web AppEs un objetivo de pruebas de penetración automatizadas y manuales, análisis de código fuente, evaluaciones de vulnerabilidades y modelado de amenazas.InsecureWebApp es ante todo una ayuda para desafiar y mejorar las habilidades de diseño y codificación segura. Arquitectos y desarrolladores necesitan aprender a identificar las vulnerabilidades en una aplicación Web real. Los objetivos de esta herramienta son de tres tipos: 1) demostrar lo peligrosas que pueden ser la vulnerabilidades de las aplicaciones, 2) cerrar la brecha que existe entre la teoría de seguridad en aplicaciones y la código que realmente se está diseñando y escribiendo, 3) aprender cómo estas vulnerabilidades pueden ser arregladas.OWASP LAPSESignifica Análisis Ligero para Seguridad en Programas en Eclipse (LightweightAnalysisforProgram Security in Eclipse). LAPSE está diseñado para ayudar con la tarea de auditar aplicaciones Java J2EE para tipos comunes de vulnerabilidades encontradas en aplicaciones web. OWASP Pantera Web Assessment StudioPantera usa una versión mejorada de SpikeProxy para proporcionar una poderosa máquina de análisis de aplicaciones WebEl objetivo principal de Pantera es combinar las capacidades automáticas con pruebas manuales completas para obtener los mejores resultados de pruebas de intrusión.OWASP SQLiXSQLiX, programado en Perl, es un scanner de inyección SQL, capaz de rastrear, detectar inyecciones SQL, identificar el tipo de base de datos y obtener resultados UDF o de llamadas de función (inclusive ejecutar comandos del sistema para MS-SQL). Los conceptos en uso son diferentes a los usados en otros scanners de inyección SQL. SQLiX es capaz de encontrar inyección SQL normal y a ciegas.OWASP ValidationLa mayoría de las plataformas de aplicaciones Web no incluyen características para validar entradas del usuario. Esto deja a muchas organizaciones a crear sus propios mecanismos de validación, normalmente incompletos, defectuosos e ineficientes.