Entradas etiquetadas web

Aplicaciones web, herramientas y seguridad

2012/05/02 a 19:36 · Archivado en seguridad ·Etiquetado , , , , ,

En [PDF] Exploring the Relationship Between Web Application. Development Tools and Security un documento interesante que trata justamente de eso: cómo las diversas herramientas disponibles para el desarrollo de una web afectan desde el punto de vista de seguridad.

Mediante una revisión manual del código y una herramienta de penetración automatizada comprobaron 9 implementaciones de la misma aplicación web realizada en tres lenguajes de programación diferentes:

Our findings are:
(1) we do not find a relationship between choice of programming language and application security,
(2) automatic framework protection mechanisms, such as for CSRF and session management, appear to be effective at precluding vulnerabilities, while manual protection mechanisms provide little value, and
(3) manual source code review is more effective than automated black-box testing, but testing is complementary.

Los lenguajes elegidos fueron Perl, PHP y Java.

El número mayor de fallos:

One of the Perl implementations has by far the most vulnerabilities, primarily due to its complete lack of XSS protection. This does not seem to be related to the fact that Perl is the language used, however, since the other two Perl implementations have only a handful of vulnerabilities, and few XSS vulnerabilities.

Que parece tener más bien que ver con la habilidad de los desarrolladores.

Sobre el tipo de fallos detectados:

Manual review is the clear winner for authentication and authorization bypass and stored XSS vulnerabilities, while black-box testing finds more reflected XSS and SQL injection vulnerabilities.

Naturalmente, es un estudio limitado y pequeñito (y a la vez grande, teniendo en cuenta la idea de 9 equipos desarrollando la aplicación) del que no se pueden sacar conclusiones estadísticas, pero aporta algo de luz al tema.

Dejar un comentario

Sobre certificados digitales y seguridad

2011/12/20 a 18:55 · Archivado en seguridad ·Etiquetado , , , , , , ,

Me declaro fan de Una al día de Hispasec. En general no son ni excesivamente técnicos, ni tampoco tan ligeros que no te enteras de nada. En Conversaciones sobre certificados, seguridad y pornografía el tono es bastante didáctico y nos avisa de los problemas que existen con los certificados digitales, incluso para sitios muy importantes, y lo cuidadosos que deberíamos de ser cuando navegamos por la red.

Está claro que el sistema no es el más amigable del mundo, y no es de extrañar que la gente termine mirando hacia otro lado en estas cuestiones.

Dejar un comentario

INTECO: sobre la seguridad de sitios web

2011/09/09 a 13:45 · Archivado en Uncategorized ·Etiquetado , , , ,

Revisando el baúl de los recuerdos (esas lecturas que se quedan en el kindle pendientes de algo) rescato este informe del INTECO: [PDF] Seguridad en sitios web con consejos a tres niveles:

- Detección de los ataques
- Minimizar los daños producidos por un ataque
- Puesta en marcha de medidas preventivas para evitar que un sistema llegue a estar comprometido

Dejar un comentario

Seguridad en aplicaciones de colaboración según Google

2011/07/12 a 16:44 · Archivado en seguridad, web ·Etiquetado , , , , ,

En [PDF] Security Whitepaper. Google Apps Messaging and Collaboration Products. Introduction un documento de Google con directrices generales, con su declaración inicial:

The security of online services is a topic of increasing interest to enterprises as the number of third party hosted service offerings has expanded in recent years. The emergence of various “cloud computing” concepts and definitions has highlighted not only questions about data ownership and protection, but also how various vendors of cloud computing technologies build and implement their services. Security experts, end-users and enterprises alike are all considering the security implications of the cloud computing model.

Y los consejos ya vistos tantas veces, pero que no se si están calando:

… the Google Security Team maintains an engineering outreach and education program that currently includes:
- Security training for new engineers.
- The creation and maintenance of extensive documentation on secure design and coding practices.

Entrenamiento sobre diseño seguro para los nuevos ingenieros.

Dejar un comentario

¿Nuevo estándar para la gestión de estado en la web?

2011/04/26 a 19:21 · Archivado en Uncategorized ·Etiquetado , ,

Después de hablar el otro día sobre si ¿Llegó el momento de arreglar HTTPs? nos encontrábamos con ‘HTTP State Management Mechanism’ to Proposed Standard donde se referencia al HTTP State Management Mechanism draft-ietf-httpstate-cookie-23 y que podría marcar el nuevo mecanismo de gestión de Cookies para la web. Debería arreglar (si se aprueba) algunos de los defectos que se comentaban en Sobre las cookies.
Como es natural, es bastante técnico y no aporta mucho a nivel de ideas
generales pero, al menos pondrá un poco de orden en la gestión de este
mecanismo:

This spec is a milestone in that HTTP “cookie” syntax and behavior has been effectively a matter of undocumented folklore all these years. Getting this finally explicitly documented will be a key underlying piece of moving “the Web”, and the wider Internet its built upon, on towards its next stage(s).

Dejar un comentario

5 decisiones de diseño que afectan a la seguridad de aplicaciones web

2011/03/21 a 20:40 · Archivado en seguridad, web ·Etiquetado , , , , , , ,

En 5 Key Design Decisions That Affect Security in Web Applications algunos puntos para tener en cuenta. Ya he dicho en vidas anteriores que a mi las listas me asustan mucho (sobre todo por lo que puedan dejarse; también porque fijan la atención en unas cosas y, por lo tanto, la alejan de otras) pero estoy seguro de que algunos aprenderán cosas con esta y otros las recordarán:

  • Replicación de sesiones
  • Contexto de autorización
  • Etiquetas vs código en las vistas
  • Elección del entorno de desarrollo
  • Registro y monitorización

Dejar un comentario

PAPAS: ¿Somos vulnerables a la polución de parámetros HTTP?

2010/12/20 a 20:34 · Archivado en Uncategorized ·Etiquetado , , , ,

Ya hablamos hace algún tiempo de Polución de parámetros del protocolo HTTP. Sus autores han seguido trabajando en el tema y ahora presentan un servicio para comprobar si somos vulnerables: HTTP Parameter Pollution. So how many flawed applications exist out there?! We go online with a new service.

El servicio está en PAPAS: PArameter Pollution Analysis System (Beta) y hay un artículo que lo explica en [PDF] Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications.

Comentarios (3)

Sobre las cookies

2010/12/03 a 15:54 · Archivado en protocolos, seguridad ·Etiquetado , , , , ,

En HTTP cookies, or how not to design protocols un repaso histórico de la evolución de las especificaciones relativas a las cookies, ese mecanismo que utilizan los navegadores para que sea posible desarrollar aplicaciones web al añadir al protocolo HTTP la posibilidad de gestionar el estado, y por lo tanto relacionar entre sí varias peticiones consecutivas de páginas web.

Se centra en los problemas que las diferentes versiones de la especificación han podido causar.

Comentarios (3)

Programación colaborativa en JavaScript

2010/07/05 a 14:15 · Archivado en colaborativo, desarrollo, javascript, programación ·Etiquetado , , , , ,

Tengo la intuición de que se podrían conseguir cosas con la programación colaborativa: en el extremo, ¿podríamos tener una aplicación web en un wiki y que ‘cualquiera’ pudiera editarla y seguir ejecutándose? Supongo que con los mecanismos de control adecuado (poder volver atrás, no poder borrar datos o ‘robarlos’ …) se podría intentar algo.

En ese sentido y más allá de la programación por parejas que ‘santificó’ la programación extrema y las metodologías ágiles, descubría el otro día en Plataforma para programar javascript de forma colaborativa la existencia de JS Bin – Collaborative JavaScript Debugging que es lo primero que conozco (desde mi ignorancia, claro) sobre desarrollo colaborativo.

Suena interesante.

Dejar un comentario

Actualización del OWASP Top 10

2010/04/28 a 20:01 · Archivado en fallos, OWASP, seguridad, top ·Etiquetado , , , , , ,

Tenía pendiente comentarlo desde hace unos días y la gente de Hispasec me da la ocasión: OWASP: Los diez riesgos más importantes en aplicaciones web (2010).

En OWASP Top 10 for 2010 hay más detalles y puede ser una lista de los fallos que sí o sí debería conocer cualquier desarrollador web:

* A1: Injection
* A2: Cross-Site Scripting (XSS)
* A3: Broken Authentication and Session Management
* A4: Insecure Direct Object References
* A5: Cross-Site Request Forgery (CSRF)
* A6: Security Misconfiguration
* A7: Insecure Cryptographic Storage
* A8: Failure to Restrict URL Access
* A9: Insufficient Transport Layer Protection
* A10: Unvalidated Redirects and Forwards

También se puede descargar de OWASP Top 10 2010 – PDF

Comentarios (2)

Entradas más antiguas »
Seguir

Get every new post delivered to your Inbox.