Plone y el OWASP Top 10

Me gustó Security overview of Plone porque da una panorámica rápida de como se supone que trata el conocido gestor de contenidos Plone cada una de las categorías de fallos de seguridad que manejaba el OWASP en ese momento.

Los registros de actividad: ¿cuáles son más interesantes?

Lo vi en Seleccionando informes de seguridad y enlazan a un recurso interesante: cualquiera que tenga que mirar registros de actividad de una máquina sabe que es un trabajo desagradable porque, normalmente, hay muchas cosas registradas que no son nada interesantes. En la publicación de SANS [PDF] Top 5 Essential Log Reports, Chris Brenton, Tina Bird y Marcus J. Ranum proponen cinco informes que son relevantes desde el punto de vista de la seguridad:

  1. Intentos de acceso a través de cuentas existentes
  2. Intentos fallidos de acceso a ficheros o recursos
  3. Cambios no autorizados en usuarios, grupos y servicios
  4. Sistemas más vulnerables al ataque
  5. Patrones de tráfico de red sospechosos o no autorizados

Actualización del OWASP Top 10

Tenía pendiente comentarlo desde hace unos días y la gente de Hispasec me da la ocasión: OWASP: Los diez riesgos más importantes en aplicaciones web (2010).

En OWASP Top 10 for 2010 hay más detalles y puede ser una lista de los fallos que sí o sí debería conocer cualquier desarrollador web:

* A1: Injection
* A2: Cross-Site Scripting (XSS)
* A3: Broken Authentication and Session Management
* A4: Insecure Direct Object References
* A5: Cross-Site Request Forgery (CSRF)
* A6: Security Misconfiguration
* A7: Insecure Cryptographic Storage
* A8: Failure to Restrict URL Access
* A9: Insufficient Transport Layer Protection
* A10: Unvalidated Redirects and Forwards

También se puede descargar de OWASP Top 10 2010 – PDF