Please enable JavaScript.
Coggle requires JavaScript to display documents.
TOP 10 OWASP v.2013 (A2 – Pérdida de autenticación y gestión de sesiones…
TOP 10 OWASP v.2013
A2 – Pérdida de autenticación y gestión de sesiones
Amenaza
Autenticación sin cifrado
Precaución
Cumplir con los requisitos de (ASVS) de OWASP
A3 – Secuencia de comandos en sitios cruzados (XSS)
Amenaza
Falta de codificación
Precaución
Separar datos no confiables del contenido activo del navegador
A5 – Configuración de seguridad incorrecta
Amenaza
Software sin parches de seguridad y configuraciones por defecto
Precaución
Cambiar configuraciones por defecto y mantener actualizados los sistemas
A6 – Exposición de datos sensibles
Amenaza
Información personal sin protección
Precaución
Cifrar información personal con algoritmos fuertes
A4 – Referencia Directa Insegura a objetos
Precaución
Referencias indirectas por usuarios.
Amenaza
Limitaciones inapropiadas a usuarios
A8 – Falsificación de peticiones en sitios cruzados (CSRF)
Amenaza
Falsificación de solicitudes por medio de JS
Precaución
Uso de Token
A7 – Ausencia de control de acceso a funciones
Amenaza
Acceso a sitios restringidos con usuarios de bajo nivel
Precaución
Proceso de gestión de accesos auditable
A10 – Redirecciones y reenvíos no validados
Amenaza
Códigos de respuesta HTTP 300-307
Precaución
Uso seguro de reenvíos y redirecciones.
A9 – Utilización de componentes con vulnerabilidades conocidas
Amenaza
Componentes con vulnerabilidades
Precaución
Políticas de seguridad que regulan el uso de componentes
A1 - Inyección
Amenaza
Por medio de SQL
Precaución
Separando los datos no confiables de los comandos y consultas.
Qué es?
Proyecto abierto de seguridad en aplicaciones Web.
(The open web Application Security Project)
Para qué sirve?
Aplicar seguridad en aplicaciones web