Post on 04-Oct-2020
c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48
Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01
info@isecauditors.com I www.isecauditors.com
OWASP Top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Vicente Aguilera Díaz 26/2/2010
Internet Security Auditors
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 2
OWASP Top 10 2010
¿Quién soy? Vicente Aguilera Díaz – vaguilera@isecauditors.com
CISA, CISSP, CSSLP, ITIL, CEH Instructor, ECSP Instructor, OPSA, OPST
Presidente del capítulo español de OWASP
Director del Departamento de Auditoría de Internet Security Auditors
Miembro del Consejo Técnico Asesor de la revista “Red Seguridad”
Colaborador en distintos proyectos (OWASP Testing Guide v2, WASC
Threat Classification v2, WASC Articles Project, OISSG ISSAF Project)
Ponente en congresos del sector (IGC, Hackmeeting, FIST, RedIRIS,
OWASP)
Co-organizador de las conferencias IBWAS (Ibero-American Web
Application Security)
Publicación de vulnerabilidades (Oracle, Gmail, SquirrelMail, Hastymail,
ISMail, etc.) y artículos en medios especializados (SIC, RedSeguridad,
WebAppSec, etc.)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 3
OWASP Top 10 2010
Agenda
1. Inversión actual en seguridad TI
2. OWASP Top 10 2010:
Actualización de los riesgos de seguridad
Revisión de la recomendaciones
3. Evasión de controles de seguridad en un entorno real:
Demostración práctica: gmailcrack
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 4
OWASP Top 10 2010
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 5
OWASP Top 10 2010
1. Inversión actual en seguridad TI
El grueso de la inversión actual en seguridad recae en:
¿Infraestructura o Aplicación?
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 6
OWASP Top 10 2010
1. Inversión actual en seguridad TI
Según Gartner[1], el 90% se destina a seguridad perimetral (p.e.
firewalls)
Este hecho resulta ilógico, si pensamos en términos de:
Presupuesto de TI (network, host, applications, data)
Amenazas y riesgos de seguridad actuales
[1] http://www.continuitycentral.com/feature0555.htm
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 7
OWASP Top 10 2010
1. Inversión actual en seguridad TI
Objetivo de los ataques
Fuente: UK Security Breach Investigations Report 2010 (7safe)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 8
OWASP Top 10 2010
1. Inversión actual en seguridad TI
Tipología de empresas afectadas
Fuente: 2009 Data Breach Investigations Report (Verizon Business)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 9
OWASP Top 10 2010
1. Inversión actual en seguridad TI
Conclusiones
La mayor parte de los atacantes son externos
Generalmente se persigue un objetivo económico
El negocio está en la web
Los sistemas de seguridad tradicionales no ofrecen protección a
nivel de aplicación
Es necesario incorporar la seguridad al SDLC, pero además…
La balanza debería equilibrarse!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 10
OWASP Top 10 2010
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 11
OWASP Top 10 2010
2. OWASP Top 10 2010
Es un documento: 21 páginas
Gratuito
Los 10 riesgos más críticos
Evoluciona y se adapta
El principal objetivo es educar
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 12
OWASP Top 10 2010
2. OWASP Top 10 2010
Enumera y describe los 10 riesgos más críticos en las
aplicaciones web
Para cada riesgo, aporta:
Descripción del mismo
Escenario de ejemplo de un ataque
Pautas para verificar si nuestra aplicación es vulnerable
Recomendaciones para prevenir dicho riesgo
Crecimiento en su aceptación:
MITRE
PCI DSS
US Defense Information Systems Agency (DISA)
US Federal Trade Commision (FTC)
y muchos más!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 13
OWASP Top 10 2010
2. OWASP Top 10 2010
Cambios destacados en esta versión (frente a 2007):
Se centra en los riesgos (no en vulnerabilidades)
Se reordena el Top 10 debido a que la metodología para
elaborar el ránking ha cambiado
Se incorporan dos elementos:
Security Misconfiguration
Unvalidated Redirect and Forwards
Se eliminan dos elementos:
Malicious File Execution
Information Leakage and Improper Error Handling
… y la maquetación del documento!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 14
OWASP Top 10 2010
2. OWASP Top 10 2010
Última actualización del Top 10
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 15
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
La aplicación envía a un intérprete datos no validados
correctamente y que pueden ser manipulados por el usuario.
Posibilita
Ejecución de consultas/comandos arbitrarios en el intérprete
afectado.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 16
OWASP Top 10 2010
Firew
all
Hardened OS
Web Server
App Server
Fir
ew
all
Data
bases
Legacy S
yste
ms
Web S
erv
ices
Directo
ries
Hum
an R
esrc
s
Bill
ing
Custom Code
APPLICATION
ATTACK
Netw
ork
Layer
Applic
ation L
ayer
Accounts
Fin
ance
Adm
inis
tration
Tra
nsactions
Com
munic
ation
Know
ledge
Mgm
tE
-Com
merc
e
Bus. F
unctions
HTTP
request
SQL
query
DB
Table
HTTP
response
"SELECT *
FROM accounts
WHERE acct=‘’
OR 1=1--’"
1. Application presents a form to
the attacker
2. Attacker sends an attack in
the form data
3. Application forwards attack to
the database in a SQL query
Account Summary
Acct:5424-6066-2134-4334
Acct:4128-7574-3921-0192
Acct:5424-9383-2039-4029
Acct:4128-0004-1234-0293
4. Database runs query
containing attack and sends
encrypted results back to
application
5. Application decrypts data as
normal and sends results to the
user
Account:
SKU:
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 17
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Evitar el uso de intérpretes siempre que sea posible. En caso de
resultar necesario, utilizar APIs seguras.
Validaciones de los datos de entrada: basadas en white-list para
todos los datos de entrada.
Antes de validar el dato de entrada es necesario decodificarlo y
convertirlo a su forma más simple
Seguir el principio de mínimo privilegio en las conexiones con bases
de datos y otros componentes
No utilizar consultas dinámicas, sino parametrizadas
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 18
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
La aplicación retorna al navegador web datos no validados
correctamente y que pueden ser alterados por el usuario.
Posibilita
Secuestro de sesión, defacement, control del navegador del
usuario, etc.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 19
OWASP Top 10 2010
Application with
stored XSS
vulnerability
3
2
Attacker sets the trap – update my profile
Attacker enters a
malicious script into a
web page that stores
the data on the server
1
Victim views page – sees attacker profile
Script silently sends attacker Victim’s session cookie
Script runs inside
victim’s browser with
full access to the DOM
and cookies
Custom Code
Accounts
Fin
ance
Adm
inis
tration
Tra
nsactions
Com
munic
ation
Know
ledge
Mgm
tE
-Com
merc
e
Bus. F
unctions
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 20
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Validaciones de los datos de entrada: basadas en white-list para
todos los datos de entrada.
Fuerte codificación de salida: todos los datos facilitados por el
usuario han de ser codificados antes de ser retornados al cliente.
Especificar la codificación de caracteres en cada página (por
ejemplo: ISO-8859-1 o UTF-8)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 21
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Deficiencias en la implementación de las funciones de
autenticación de usuarios.
Posibilita
Obtener contraseñas o IDs de sesión de otros usuarios,
suplantando su identidad.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 22
OWASP Top 10 2010
Custom Code
Acco
un
ts
Fin
an
ce
Ad
min
istr
ati
on
Tra
nsacti
on
s
Co
mm
un
icati
on
Kn
ow
led
ge
Mg
mt
E-C
om
merc
e
Bu
s. F
un
cti
on
s1 User sends credentials
2Site uses URL rewriting
(i.e., put session in URL)
3 User clicks on a link to
http://www.hacker.com in a forum
www.boi.com?JSESSIONID=9FA1DB9EA...
4
Hacker checks referer logs on
www.hacker.com
and finds user’s JSESSIONID5 Hacker uses JSESSIONID
and takes over victim’s
account
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 23
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Las credenciales deben viajar por un canal seguro (SSL)
Las credenciales deben ser almacenadas en forma de hash o utilizandocifrado
Utilizar la gestión de sesiones del propio framework
No aceptar nuevos identificadores de sesión desde el usuario.
El formulario de login deben ser accedido vía HTTPs. Comenzar el procesode login desde una segunda página en la que se haya generado un nuevoID de sesión.
Cada página debe incluir la opción de logout.
Utilizar time-out por inactividad (preferiblemente de pocos minutos)
No exponer credenciales (login y/o password) o identificadores de sesión enla URL.
Verificar el password anterior al solicitar un cambio de contraseña.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 24
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Exposición de una referencia a un objeto interno sin los
debidos controles de seguridad.
Posibilita
Acceso a datos no autorizados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 25
OWASP Top 10 2010
https://www.onlinebank.com/user?acct=6065
• Attacker notices his acct
parameter is 6065
?acct=6065
• He modifies it to a
nearby number
?acct=6066
• Attacker views the
victim’s account
information
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 26
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Utilizar referencias indirectas. Por ejemplo:
http://www.example.com/application/file=1
Establecer un estándar a la hora de hacer referencia a objetos del
servidor:
Evitar exponer a los usuarios referencias directas a objetos
(como nombres de fichero o claves primarias)
Validar cualquier referencia a un objeto utilizado white-list.
Verificar el nivel de autorización sobre los objetos
referenciados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 27
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Fuerza al navegador de la víctima (autenticada) a realizar
una petición HTTP, incluyendo la cookie de sesión u otra
información que permite autenticar al usuario.
Posibilita
Forzar acciones no deseadas por parte del usuario en la
aplicación vulnerable.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 28
OWASP Top 10 2010
3
2
Attacker sets the trap on some website on the internet
(or simply via an e-mail)1
While logged into vulnerable site,
victim views attacker site
Vulnerable site sees
legitimate request
from victim and
performs the action
requested
Custom Code
Acco
un
ts
Fin
an
ce
Ad
min
istr
ati
on
Tra
nsacti
on
s
Co
mm
un
icati
on
Kn
ow
led
ge
Mg
mt
E-C
om
merc
e
Bu
s. F
un
cti
on
s
Hidden <img> tag
contains attack
against vulnerable
site
Application with
CSRF vulnerability
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 29
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Verificar que la aplicación no basa la autenticación del usuario
únicamente en credenciales o tokens transmitidos automáticamente por
el navegador.
Utilizar un token adicional, criptográficamente seguro, que no se
transmita de forma automática por el navegador (por ejemplo, campo
oculto de formulario o parámetro de URL)
Verificar que la aplicación no sufre vulnerabilidades de tipo XSS
En el acceso a datos u operativas sensibles, re-autenticar al usuario.
Aceptar únicamente el método POST para transmitir información
sensible.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 30
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Uso de configuraciones de seguridad deficientes o por
defecto.
Posibilita
Explotar vulnerabilidades en la aplicación, servidores
web/aplicación, u otros componentes.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 31
OWASP Top 10 2010
Hardened OS
Web Server
App Server
Framework
App Configuration
Custom Code
Accounts
Fin
ance
Adm
inis
tration
Tra
nsactions
Com
munic
ation
Know
ledge M
gm
t
E-C
om
merc
e
Bus. F
unctions
Test Servers
QA Servers
Source Control
Development
Database
Insider
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 32
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Uso de guías de securización.
Mantener actualizadas todas las plataformas.
Analizar las implicaciones de los cambios realizados en las
plataformas.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 33
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Ausencia de controles de autenticación/autorización en el
acceso a recursos privados.
Posibilita
Acceso no autorizado a recursos privados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 34
OWASP Top 10 2010
• Attacker notices the URL
indicates his role
/user/getAccounts
• He modifies it to another
directory (role)
/admin/getAccounts, or
/manager/getAccounts
• Attacker views more accounts
than just their own
https://www.onlinebank.com/user/getAccountshttps://www.onlinebank.com/user/getAccounts
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 35
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Disponer de una matriz de roles y funciones de la aplicación, como
parte del diseño de la aplicación.
La aplicación debe verificar el control de acceso en cada petición.
Llevar a cabo pentests (tests de intrusión) tras el despliegue de la
aplicación
No basar la seguridad en la ofuscación
Denegar el acceso a tipos de ficheros que la aplicación no debería
servir. Basar la validación en una white-list (por ejemplo: .html, .pdf,
.jsp)
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 36
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Uso de datos no validados correctamente para realizar
redirecciones a otros recursos.
Posibilita
Redirigir a los usuarios a sitios de phishing o malware, o
acceso a recursos no autorizados.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 37
OWASP Top 10 2010
3
2
Attacker sends attack to victim via email or webpage
From: Internal Revenue Service
Subject: Your Unclaimed Tax
Refund
Our records show you have an
unclaimed federal tax refund.
Please click here to initiate your
claim.
1
Request sent to
vulnerable site, including
attacker’s destination site
as parameter. Redirect
sends victim to attacker
site
Custom Code
Acco
un
ts
Fin
an
ce
Ad
min
istr
ati
on
Tra
ns
acti
on
s
Co
mm
un
icati
on
Kn
ow
led
ge
Mg
mt
E-C
om
merc
e
Bu
s. F
un
cti
on
s
4
Victim clicks link containing unvalidated parameter
Evil Site
http://www.irs.gov/taxrefund/claim.jsp?year=2006& … &dest=www.evilsite.com
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 38
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Intentar evitar el uso de redirecciones.
No utilizar parámetros que puedan ser manipulados por el
usuario como parte de la URL, o verificar cada parámetro
para verificar que es válido y autorizado para el usuario
Validar la URL después de haberla “calculado”.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 39
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Datos sensibles no protegidos con el cifrado adecuado.
Posibilita
Fraude con tarjetas de crédito, suplantación de identidades,
etc.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 40
OWASP Top 10 2010
Custom Code
Ac
co
un
ts
Fin
an
ce
Ad
min
istr
ati
on
Tra
ns
ac
tio
ns
Co
mm
un
ica
tio
nK
no
wle
dg
e
Mg
mt
E-C
om
me
rce
Bu
s. F
un
cti
on
s1Victim enters credit
card number in form
2Error handler logs CC
details because
merchant gateway is
unavailable
4 Malicious insider
steals 4 million
credit card
numbers
Log files
3Logs are accessible to
all members of IT staff
for debugging purposes
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 41
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Verificar que todo lo que debiera ser cifrado realmente lo está.
No crear algoritmos criptográficos. Usar únicamente algoritmos públicos
reconocidos (como AES, RSA, y SHA-256)
No utilizar algoritmos considerados débiles (como MD5 o SHA1)
Nunca transmitir claves privadas por canales inseguros
Verificar que las credenciales de toda la infraestructura (como base de
datos) se encuentran correctamente securizadas (permisos del sistema
de ficheros, cifrado, etc.)
No almacenar información innecesaria. Por ejemplo, según PCI DSS
nunca se debe almacenar el número CVV asociado a la tarjeta de
crédito.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 42
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Descripción
Comunicaciones sensibles viajan por un canal no cifrado.
Posibilita
Acceso a información sensible mediante la captura del
tráfico.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 43
OWASP Top 10 2010
Custom Code
Employees
Business PartnersExternal Victim
Backend Systems
External Attacker
1
External attacker
steals credentials
and data off
network
2
Internal attacker
steals credentials
and data from
internal network
Internal Attacker
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 44
OWASP Top 10 2010
2. OWASP Top 10 2010: Riesgos
Recomendaciones
Utilizar SSL en cualquier comunicación autenticada o al transmitir
información sensible (credenciales, datos de tarjetas, información
personal, etc.)
Verificar que la comunicación entre componentes (por ejemplo,
servidor web y base de datos) también utiliza un canal seguro.
Según el requerimiento 4 de PCI DSS hay que proteger los datos
que se transmiten sobre las tarjetas de crédito.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 45
OWASP Top 10 2010
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 46
OWASP Top 10 2010
3. Evasión de controles de seguridad en un entorno
real:
Gmail dispone de un gran número de controles de seguridad
Bloqueo de IP origen
Bloqueo de la cuenta al detectar actividad sospechosa
CAPTCHA
Detección de accesos concurrentes
y muchos más!
¿Es posible automatizar el proceso de
autenticación de usuarios?
password cracking
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 47
OWASP Top 10 2010
3. Evasión de controles de seguridad en un entorno
real:
Veamos qué deficiencias existen…
Nota: El equipo de seguridad de Google fue notificado de
estas deficiencias en 2009, pero desestimó aplicar cualquier
medida correctora debido a que consideraban suficientes sus
actuales mecanismos de protección.
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 48
OWASP Top 10 2010
3. Evasión de controles de seguridad en un entorno
real:
Conozcamos gmailcrack, la implementación práctica que
explota dichas deficiencias
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 49
OWASP Top 10 2010
3. Evasión de controles de seguridad en un entorno
real:
gmailcrack en acción…
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 50
OWASP Top 10 2010
Referencias
UK Security Breach Investigations Report
http://www.7safe.com/breach_report/Breach_report_2010.pdf
2009 Data Breach Investigations Report
http://www.verizonbusiness.com/resources/security/reports/2009
_databreach_rp.pdf
OWASP Top 10 2010 rc1
http://www.owasp.org/index.php/File:OWASP_T10_-
_2010_rc1.pdf
Internet Security Auditors Security Advisories
http://www.isecauditors.com/es/advisories.html#2009-008
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 51
OWASP Top 10 2010
Referencias
The Economics of Finding and Fixing Vulnerabilities in Distributed
Systems
http://1raindrop.typepad.com/1_raindrop/2008/11/the-
economics-of-finding-and-fixing-vulnerabilities-in-distributed-
systems-.html
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 52
OWASP Top 10 2010
?dudas / comentarios / sugerencias
Gracias!
© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 53
OWASP Top 10 2010
Su Seguridad es Nuestro Éxito
Vicente Aguilera DíazDirector Departamento Auditoría
Internet Security Auditorsvaguilera@isecauditors.com
c/ Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
Pº. de la Castellana, 164-166. Entlo. 1ª
E-28046 Madrid (Spain)
Tel.: +34 91 788 57 78
Fax: +34 91 788 57 01
www.isecauditors.com