Ya hace unos días que se publicó pero hasta ahora no había tenido tiempo de echarle un ojo. Se trata del proyecto OWASP Application Security Verification Standard Project que publicó el mes pasado su guía. Se trata de una guía de verificación de aplicaciones web que establece distintos niveles de profundidad en la revisión: desde la revisión automatizada a la revisión manual, en sus niveles más básicas tests de penetración y auditoría de código y en los más altos revisiones de diseño y de arquitectura. Además propone listas de comprobación del tipo de cosas que habría que mirar, que siempre es una ayuda a la hora de enfrentarse a estas cuestiones.
Tiene 38 páginas que no son demasiadas para hacerse una idea.
Entradas etiquetadas listas
El OWASP Application Security Standard
2009/07/20 a 14:54 · Archivado en OWASP, seguridad ·Etiquetado auditoría, checklist, listas, OWASP, seguridad, verificación
Otra lista
2009/05/27 a 20:25 · Archivado en seguridad ·Etiquetado bitácoras, blogs, consejos, listas, seguridad
Esta vez la de Informático y “Segurata” que se puede leer en Blogs de seguridad informática.
Algunos no los conocía.
Bitácoras interesantes de seguridad (I)
2009/05/05 a 14:06 · Archivado en seguridad ·Etiquetado bitácoras, blogs, listas, recomendaciones, seguridad
Me cuesta mucho publicar listas de sitios recomendados por pura pereza.
Igual que el otro día se proponían ¿Qué bitácoras de programación lees? (lo comentamos en Bitácoras interesantes de programación (I)), ahora podemos ver la propuesta de Blogs interesantes sobre seguridad.
Ya conocía muchos de ellos (a alguno incluso personalmente) pero desde ya me declaro seguidor de los demás (y me auto-emplazo a publicar una lista en algún momento del futuro).
Los veinte trabajos más chulos en seguridad informática
2009/03/12 a 16:54 · Archivado en seguridad ·Etiquetado listas, rankings,, seguridad, topes, trabajos,
Curiosa lista (con dos o tres explicaciones) en The 20 Coolest Jobs in Information Security.
El número 1, investigador forense no me llama nada, y los que tienen que ver con pruebas e intentos de penetración pueden tener su aquel pero definitivamente no me veo. En el puesto 18 está el de #18 – Security-savvy Software Developer* que, aunque tampoco es lo que hago, se parece a las cosas que me gusta contar a la mínima oportunidad que me dan.
Dos grandes errores en las aplicaciones web y doce consejos para evitarlos
2009/03/04 a 10:56 · Archivado en desarrollo, seguridad, web ·Etiquetado consejos, fallos, internet, listas, SANS, seguridad, web
Lo acaban de publicar en la Last 25 papers added to the Reading Room. Se trata del documento: Protecting Your Web Apps: Two Big Mistakes and 12 Practical Tips to Avoid Them (pdf).
No me queda claro cuáles son las que consideran los autores (Frank Kim y Ed
Skoudis) los grandes errores, pero los consejos están claros:
- Utilizar código de validación conocido y controlado
- Especificar el tipo de datos de las varialbes
- No definir los caracteres malos, aceptar los buenos
- Limitar el tamaño de la entrada
- Canonicalizar antes de filtrar
- Filtrar todas las entradas
- Filtrar en el servidor
- No preocuparse porque existan varios niveles de validación
- Codificar adecuadamente la salida
- Elegir la codificación de salida adecuada
- Hacer una auditoría de código
- Hacer una prueba de penetración
Para algunos de los temas hablan del proyecto OWASP Enterprise Security API (ESAPI), que propone algunos módulos y funciones relativas a algunas cuestiones como la validación, canonicalización, …
