Please enable JavaScript.
Coggle requires JavaScript to display documents.
Controles proactivos de OWASP - Coggle Diagram
Controles proactivos de OWASP
¿Qué hacen?
Describen las categorías de control más importantes que todo desarrollador debería incluir
¿Qué es?
Es una lista de técnicas de seguridad
C1: Definir requisitos de seguridad
Los requisitos de seguridad brindan la funcionalidad necesaria para que el software se satisfaga.
Se deriva
De los estándares de la industria, las leyes aplicables y un historial de vulnerabilidades pasadas.
C2: Aprovechar marcos de seguridad y bibliotecas
Ayudan a protegerse contra fallas de diseño e implementación relacionadas con la seguridad
Vulnerabilidades Prevenidas
Previenen una amplia gama de vulnerabilidades de aplicaciones web
Herramientas
Verificación de dependencia de OWASP
Escáner Retire.JS
C3: Acceso seguro a la base de datos
Describe el acceso seguro a todos los almacenes de datos
Áreas
Consultas seguras
Configuración segura
Autenticación segura
Comunicación segura
Vulnerabilidades Prevenidas
Inyección
Controles laterales débiles del servidor
C4: Codificar y escapar datos
Son técnicas defensivas destinadas a detener los ataques de inyección.
Codificación de salida contextual
Es una técnica de programación para detener XSS
Codificación de Java
Codificación .NET
Codificación PHP
Vulnerabilidades Prevenidas
Inyección
Cross Site Scripting (XSS)
Inyección del lado del cliente
C5: Validar todas las entradas
Garantiza que solo los datos formateados puedan ingresar a un componente del sistema de software.
validez de sintaxis
Los datos están en la forma esperada
validez semántica
Incluye solo aceptar entradas en un rango aceptable para la funcionalidad de la aplicación dada
Herramientas
Proyecto OWASP Java HTML Sanitizer
Java JSR-303/JSR-349 Bean Validación
Validador Java Hibernate
JEP-290 Filtrar datos de serialización entrantes
Validador de Apache Commons
C6: Implementar Identidad Digital
La identidad digital es la representación única de un usuario cuando participa en una transacción en línea.
Niveles de autenticación
Nivel 1: Contraseñas
Nivel 2: autenticación multifactor
Nivel 3: Autenticación basada en criptografía
Vulnerabilidades Prevenidas
Autenticación y gestión de sesiones rotas
Autorización y autenticación deficientes
Otros controles proactivos
C7: Hacer cumplir los controles de acceso
C8: Proteja los datos en todas partes
C9: Implementar registro y monitoreo de seguridad
C10: Manejar todos los errores y excepciones