El OWASP Top 10 de 2010 en diez párrafos

Empezamos la vuelta al cole suavecito, con un par de informes. No por su
interés (que puede que lo tengan y puede que no), sino por sus valores
‘laterales’.

En White Paper: SecureSphere and OWASP 2010 Top Ten Most Critical Web Application Security Risks (requiere registro) un informe sobre un producto, Securesphere, al que conforme iba echando un vistazo ayer iba pensando que tenía valo por los parrafitos en ls que se comenta cada uno de los fallos del OWASP Top 10 2010. A veces, las buenas explicaciones sobre otras cosas vienen cuando uno necesita explicar algo más sofisticado, porque se esmera en simplicar la explicación de lo que necesita como paso previo.

Otro infome que también me viene bastante bien en un sentido similar es el de White Paper: Next Generation Web Application Firewalls (NG-WAF), porque aparece una cronología de las regulaciones que han ido apareciendo a lo largo del tiempo en reacción a determinados incidentes y problemas de seguridad. Lamentablemente, no consigo encontrarla de manera individual por la web, así que hay que bajarse el informe para echarle un ojo. También requiere registro.

Anuncios

OWASP ¿hasta dónde?

Mark Curphey es uno de los creadores del proyecto OWASP. En OWASP – Has it Reached a Tipping Point ? hace un repaso de lo sucedido y por dónde cree que deberían ir los tiros en el futuro.

He seleccionado un par de parrafitos:

Ask your average OWASP member how to federate identity across the Internet
and reckon you will be met with a blank stare but ask them how to check for
XSS and I bet you would be greeted with a smile. Thats a problem. That is
not to say that people who live and breath HTTP security isn’t incredibly
valuable but it wasn’t what I wanted or what I really care about.

Que se preocupa, en definitiva, de si los conocimientos están llegando a
los lugares adecuados: no se trata de saber mucho de un tema, sino de que
las personas adecuadas se preocupen de ello.
Y la siguiente, en la misma línea:

We can’t have security people who know development. We must have developers who know security. There is a fundamental difference and it is important.

Es decir, la gente de seguridad ya conoce los problemas, pero es necesario
que los conozcan y se aproximen a ellos las personas adecuadas, los
desarrolladores:

  1. Gestionar el porfolio de proyectos
  2. Conseguir el interés de la industria y comunicar adecuadamente
  3. Ética/Código de conducta
  4. Atraer a los desarrolladores

Sobre el primer punto, ya ha conseguido que el promotor de uno de los proyectos lo cerrara.

Actualización del OWASP Top 10

Tenía pendiente comentarlo desde hace unos días y la gente de Hispasec me da la ocasión: OWASP: Los diez riesgos más importantes en aplicaciones web (2010).

En OWASP Top 10 for 2010 hay más detalles y puede ser una lista de los fallos que sí o sí debería conocer cualquier desarrollador web:

* A1: Injection
* A2: Cross-Site Scripting (XSS)
* A3: Broken Authentication and Session Management
* A4: Insecure Direct Object References
* A5: Cross-Site Request Forgery (CSRF)
* A6: Security Misconfiguration
* A7: Insecure Cryptographic Storage
* A8: Failure to Restrict URL Access
* A9: Insufficient Transport Layer Protection
* A10: Unvalidated Redirects and Forwards

También se puede descargar de OWASP Top 10 2010 – PDF

El OWASP Application Security Standard

Ya hace unos días que se publicó pero hasta ahora no había tenido tiempo de echarle un ojo. Se trata del proyecto OWASP Application Security Verification Standard Project que publicó el mes pasado su guía. Se trata de una guía de verificación de aplicaciones web que establece distintos niveles de profundidad en la revisión: desde la revisión automatizada a la revisión manual, en sus niveles más básicas tests de penetración y auditoría de código y en los más altos revisiones de diseño y de arquitectura. Además propone listas de comprobación del tipo de cosas que habría que mirar, que siempre es una ayuda a la hora de enfrentarse a estas cuestiones.
Tiene 38 páginas que no son demasiadas para hacerse una idea.

OWASP Security Code Review Guide v1.1

Anunciaban el otro día que OWASP acaba de publicar la versión 1.1 de su OWASP Code Review Project. Se trata de una guía que puede leerse en la web, pero también descargarse (por ejemplo, OWASP Security Code Review Guide (pdf), con 216 páginas).

Cuando hablamos de revisión del código ya no estamos hablando de desarrollo seguro (en todo caso, de una de sus partes) pero para gente que está aprendiendo puede ser muy bueno conocer estos aspectos para comprender mejor todo el contexto.

Entrevista a Vicente Aguilera

Nos avisaba el propio Vicente Aguilera, líder del Capítulo español de OWASP. En el número de enero de la revista Red Seguridad se publica una entrevista a Vicente (pdf) en la que se habla de OWASP y de otras cuestiones relacionadas.

‘Chuleta’ para la prevención de ‘Cross Site Scripting’

Del proyecto OWASP acabo de descubrir la XSS (Cross Site Scripting) Prevention Cheat Sheet, y a partir de ella el proyecto ESAPI, Enterprise Security API, que son un conjunto de clases y métodos que encapsulan las principales operaciones relacionadas con la seguridad (autentificación, identificación, validación, codificación, …).