Please enable JavaScript.
Coggle requires JavaScript to display documents.
OWAS (MINIMIZANDO EL ÁREA DE SUPERFICIE DE ATAQUE: determinar como la…
OWAS
- MINIMIZANDO EL ÁREA DE SUPERFICIE DE ATAQUE: determinar como la interacción del usuario con el sistema y así validar hasta que instancia una función del sistema brinda acceso al usuario o que tanta superficie del sistema es consultada por el usuario en determinado momento.
por ello entre mas funciones trae el sistema es posible que la superficie de ataque también podría aumentar.
evitar el uso de campos donde un usuario use campos donde seria posible implementar inyección SQL, usando filtros como los menú ítem.
que el usuario primero se registre antes de realizar consultas al interior del aplicativo, así determinar que el usuario accede a ciertos puntos de la data del sistema.
- SEGURIDAD POR DEFECTO: determinar por parte del sistema algunos parámetros como base, para que por defecto cuente con ciertas condiciones de seguridad pero el usuario podrá re configurar estas condiciones provocando que el sistema sea menos seguro.
inicios de sesión en correo electrónico donde el usuario elije el nivel de seguridad, ya que es posible acceder con varios métodos que disponen los aplicativos.
que el usuario deba usar contraseñas diferentes al interior del entorno de trabajo según las acciones que desee realizar como ocultar información, modificar datos o anulación de movimiento realizados.
- PRINCIPIO DEL MÍNIMO PRIVILEGIO: garantizar que los roles o sesiones solo pueden acceder a las funciones del sistema que son propias de un cargo , así lograr que las cuentas tengan un mínimo de acciones disponibles que garanticen que podrá realizar sus actividades propias del puesto.
en las fases de testeo hacer pruebas de uso a los diferentes usuarios y determinar como se comportan al ejecutar diversas tareas o acciones en el sistema
garantizar que un usuario existe en la base de datos y cuentas con las funciones acorde a estas con pruebas de funciones y cambios de sesión así determinar que funcionan bien las sesiones y los roles de usuario.
- PRINCIPIO DE DEFENSA EN PROFUNDIDAD: usar formas de validar un acceso con alternativas mas elaboradas donde se da control de la misma a la organización de quien sea el sistema.
-
-
- FALLAR DE FORMA SEGURA: garantizar que las fallas se hacen en entornos esperados en fases previos a la producción, y así poder solucionar estos inconvenientes para darles solución previamente y que en fases anteriores se solucione.
testear los roles en fase de desarrollo y así evidenciar a tiempo errores que se puedan mitigar a tiempo antes de la fase de producción.
valdar los tiempos de sesión activos y en que momentos se pide logearse nuevamente por posibles errorres.
- LOS SISTEMAS EXTERNOS SON INSEGUROS: que en muchas ocasiones cunado se terceriza parte del funcionamiento de un aplicativo web estos servicios no funcionan bajo las mismas políticas o estándares de manera al que no se puede garantizar el funcionamiento de la seguridad ya que o se pueden controlar en términos generales.
-
reCaptcha es un validador de quien hace la solicitud solicitando un clic en ciertos lugares de la pantalla para evitar spam o ataque de DNS
- SEPARACIÓN DE FUNCIONES: determinar que los roles del sistema deben usar cada persona de la organización, y así como las personas tienen funciones claras y especificas el sistema también debe tener limitado las funciones de cada persona que usara el rol o la sesión.
-
con rol de cajero intentar acceder a la base de datos de nomina de la empresa así se podría validar lo solicitado
- NO CONFÍES DE LA SEGURIDAD A TRAVÉS DE LA OSCURIDAD: el hecho de proteger el codigo fuente no garantiza que sea un aplicativo inexpugnable
no permitir que los desarrolladores se queden con los códigos fuentes usando procesos de control y auditoria en la empresa
hacer validaciones externas que permitan evidenciar si los parámetros de seguridad desarrollados por los ingenieros son los mencionados y documentados
- SIMPLICIDAD: siempre que se puedan usar opciones de desarrollo y codificación simple mejor y si no es necesario un desarrollo robusto es mejor evitarlo por optimización de la aplicación
-
-
- ARREGLAR CUESTIONES DE SEGURIDAD CORRECTAMENTE: tener protocolos para determinar la ruta a seguir una vez un error se ha encontrado, así evitar regresiones que afecten no solo el tiempo del desarrollo sino también perjudique la aplicación final del mismo.
procedimientos claros según sistemas normativos como SGC para mitigar las amenazas o evidencias halladas
-
-