Pistas sobre criptografía y otros

Como decíamos el otro día en Pistas sobre autentificación en aplicaciones web la serie de Cheat Sheets es muy interesante, y va acompañada de algunas explicaciones en los OWASP Podcast que todavía las hace más valiosas.

Por no poner entradas separadas para cada una de ellas me permito recomendar algunas más:

- Cryptographic Storage Cheat Sheet con algunas cuestiones que a veces se olvidan en la gestión de datos cifrados (el podcast correspondiente sería el 68, [mp3] Kevin Kenan (Cryptographic Storage).

- Transport Layer Protection Cheat Sheet sobre protocolos de transporte (y el podcast sería el 70, [mp3] Michael Coates (TLS).

- SQL Injection Prevention Cheat Sheet (y un podcast sobre el tema sería el 29, OWASP Interview with Justin Clarke.

Todos son recomendables, pero marco aquí los que he ido escuchando hace menos tiempo y he encontrando interesantes.

Pistas sobre autentificación en aplicaciones web

Ya hemos hablado de algunas hojas de pistas sobre diversos temas: Las claves y ‘Chuleta’ para la prevención de ‘Cross Site Scripting’.

Otra recomendación: Authentication Cheat Sheet, sobre los temas de autentificación.

En general la serie de Cheat Sheets es muy interesante, y va acompañada de algunas explicaciones en los OWASP Podcast que todavía las hace más valiosas.

AppSec: sofware con sensores defensivos

Ya habíamos hablado del proyecto AppSensor, de OWASP (en Sensores en aplicaciones: detección de problemas y respuestas) así que cuando vi el artículo [PDF] Creating Attack-Aware Software Applications with Real-Time Defenses pensé que a lo mejor había algo de código para entender mejor el proyecto. No es así, pero sí que es un artículo más explicando las ideas que hay detrás de esta aproximación a la seguridad en aplicaciones.

El OWASP Top 10 de 2010 en diez párrafos

Empezamos la vuelta al cole suavecito, con un par de informes. No por su
interés (que puede que lo tengan y puede que no), sino por sus valores
‘laterales’.

En White Paper: SecureSphere and OWASP 2010 Top Ten Most Critical Web Application Security Risks (requiere registro) un informe sobre un producto, Securesphere, al que conforme iba echando un vistazo ayer iba pensando que tenía valo por los parrafitos en ls que se comenta cada uno de los fallos del OWASP Top 10 2010. A veces, las buenas explicaciones sobre otras cosas vienen cuando uno necesita explicar algo más sofisticado, porque se esmera en simplicar la explicación de lo que necesita como paso previo.

Otro infome que también me viene bastante bien en un sentido similar es el de White Paper: Next Generation Web Application Firewalls (NG-WAF), porque aparece una cronología de las regulaciones que han ido apareciendo a lo largo del tiempo en reacción a determinados incidentes y problemas de seguridad. Lamentablemente, no consigo encontrarla de manera individual por la web, así que hay que bajarse el informe para echarle un ojo. También requiere registro.

Algunas ideas sobre ESAPI

Ya hemos hablado en vidas anteriores de ESAPI: Bibliotecas para evitar problemas en PHP, Dos grandes errores en las aplicaciones web y doce consejos para evitarlos y ‘Chuleta’ para la prevención de ‘Cross Site Scripting’.

Hace algunas semanas Jack Kowalsky publicaba un resumen de funcionalidades e ideas:

• Using the OWASP PHP ESAPI – Part 1
• Using the OWASP PHP ESAPI – Part 2
• Using the OWASP PHP ESAPI – Part 3
• Using the OWASP ESAPI PHP – Part 4

OWASP ¿hasta dónde?

Mark Curphey es uno de los creadores del proyecto OWASP. En OWASP – Has it Reached a Tipping Point ? hace un repaso de lo sucedido y por dónde cree que deberían ir los tiros en el futuro.

He seleccionado un par de parrafitos:

Ask your average OWASP member how to federate identity across the Internet
and reckon you will be met with a blank stare but ask them how to check for
XSS and I bet you would be greeted with a smile. Thats a problem. That is
not to say that people who live and breath HTTP security isn’t incredibly
valuable but it wasn’t what I wanted or what I really care about.

Que se preocupa, en definitiva, de si los conocimientos están llegando a
los lugares adecuados: no se trata de saber mucho de un tema, sino de que
las personas adecuadas se preocupen de ello.
Y la siguiente, en la misma línea:

We can’t have security people who know development. We must have developers who know security. There is a fundamental difference and it is important.

Es decir, la gente de seguridad ya conoce los problemas, pero es necesario
que los conozcan y se aproximen a ellos las personas adecuadas, los
desarrolladores:

1. Gestionar el porfolio de proyectos
2. Conseguir el interés de la industria y comunicar adecuadamente
3. Ética/Código de conducta
4. Atraer a los desarrolladores

Sobre el primer punto, ya ha conseguido que el promotor de uno de los proyectos lo cerrara.

Desarrollar una metodología de diseño de programas seguros

Cuando hablamos de desarrollar software seguro, puede ser de utilidad observar buenas prácticas de otras empresas, metodologías y otros sistemas que hay propuestos por ahí. En OpenSAMM shows a way Jim Bird hace un repaso a algunas de las diferentes propuestas existentes, señalando las virtudes y defectos que encontraron en cada una de ellas y su elección (que no tiene que ser la de todos).
Interesante.

Actualización del OWASP Top 10

Tenía pendiente comentarlo desde hace unos días y la gente de Hispasec me da la ocasión: OWASP: Los diez riesgos más importantes en aplicaciones web (2010).

En OWASP Top 10 for 2010 hay más detalles y puede ser una lista de los fallos que sí o sí debería conocer cualquier desarrollador web:

* A1: Injection
* A2: Cross-Site Scripting (XSS)
* A3: Broken Authentication and Session Management
* A4: Insecure Direct Object References
* A5: Cross-Site Request Forgery (CSRF)
* A6: Security Misconfiguration
* A7: Insecure Cryptographic Storage
* A8: Failure to Restrict URL Access
* A9: Insufficient Transport Layer Protection
* A10: Unvalidated Redirects and Forwards

También se puede descargar de OWASP Top 10 2010 – PDF

El OWASP Application Security Standard

Ya hace unos días que se publicó pero hasta ahora no había tenido tiempo de echarle un ojo. Se trata del proyecto OWASP Application Security Verification Standard Project que publicó el mes pasado su guía. Se trata de una guía de verificación de aplicaciones web que establece distintos niveles de profundidad en la revisión: desde la revisión automatizada a la revisión manual, en sus niveles más básicas tests de penetración y auditoría de código y en los más altos revisiones de diseño y de arquitectura. Además propone listas de comprobación del tipo de cosas que habría que mirar, que siempre es una ayuda a la hora de enfrentarse a estas cuestiones.
Tiene 38 páginas que no son demasiadas para hacerse una idea.

OWASP Security Code Review Guide v1.1

Anunciaban el otro día que OWASP acaba de publicar la versión 1.1 de su OWASP Code Review Project. Se trata de una guía que puede leerse en la web, pero también descargarse (por ejemplo, OWASP Security Code Review Guide (pdf), con 216 páginas).

Cuando hablamos de revisión del código ya no estamos hablando de desarrollo seguro (en todo caso, de una de sus partes) pero para gente que está aprendiendo puede ser muy bueno conocer estos aspectos para comprender mejor todo el contexto.