OWASP Top 10 es un listado de los principales fallos de seguridad que afectan a los servicios web expuestos a Internet. Se considera un referente a la hora de entender y enmarcar las vulnerabilidades que  suponen un riesgo de seguridad para los servicio web.

• Módulo 1 - OWASP: organización, orígenes, guías y proyectos.
• Módulo 2 - Preparación del entorno de pruebas: DVWA + ZAP Proxy.
• Módulo 3: OWASP TOP 10: Vulnerabilities, explotación y mitigación:
• • Bloque A1 - Ataques de inyección.
    

    Estos ataques se producen cuando el servidor acepta e interpreta información enviada desde parte del usuario (no confiable) y acaba siendo ejecutada en forma de comandos SQP, LADP, etc... 

  • Bloque A2 - Ataques sobre sistemas de autenticación y sesión:
    

    Las funciones de autenticación y gestión de sesiones pueden no están implementadas correctamente, lo que puede facilitar el robo de contraseñas, claves de sesión o suplantación de usuarios.

  • Bloque A3 - Cross-Site Scripting (XSS).
    

    Este fallo sucede cuando una aplicación acepta información no confiable y que es enviada de vuelta al navegador sin haber realizado una adecuada validación. Un atacantes puede aprovechar esta situación para ejecutar código en el navegador de la víctima con fines maliciosos.

  • Bloque A4 - Referencias inseguras a objetos.
    

    Fallos de implementación que permiten que un atacante tenga acceso a información en el servidor de forma no controlada.

  • Bloque A5 - Fallos de seguridad en configuraciones.
    

    Todo servidor web tiene una configuración determinada, y muchas veces no se siguen las recomendaciones de seguridad adecuadas. Los fallos de configuración pueden provocar debilidades y exposición a diversos ataques desde Internet.

  • Bloque A6 - Exposición de información sensible.
    

    Muchas aplicaciones no protegen adecuadamente la información sensible que manejan como contraseñas o números de tarjetas de crédito, y en ocasiones es posible que un atacante puedan aprovechar estos fallos para sustraer esta información.

  • Bloque A7 - Deficiente control de acceso a funciones.
    

    Fallo producido cuando un servidor no controla adecuadamente los permisos para la ejecución de funciones. De esta forma, una petición HTTP especialmente modificada puede permitir a un atacante acceder a determinada funcionalidad sin la debida autorización.

  • Bloque A8 - Cross Site Request Forgery (CSRF).
    

    Este fallo hace posible que el navegador de una víctima acabe realizando peticiones HTTP no controladas aprovechando las sesiones activas de la víctima. De esta forma, un usuario puede acabar realizando operaciones sobre un portal web vulnerable de forma forzada sin ser consciente de ello.

  • Bloque A9 - Componentes con vulnerabilidades conocidas.
    

    Muchas aplicaciones utilizan componentes desactualizados que además pueden pueden presentar vulnerabilidades conocidas, esto supone un potencial punto de fallo y una vía de explotación al servicio.

  • Bloque A10 - Redirecciones no controladas.
    

    Las aplicaciones web utilizan frecuentemente redirecciones internas o externas a diferentes recursos web. Si la información utilizada para generar los destinos no es validada adecuadamente, un atacante podría aprovechar esta situación para redirigir a la víctima a una página maliciosa

Estas son las convocotarias actualmente activas:

Abirtone tiene acuerdos con compañías líderes especializadas del sector, que te abrirán las puertas a nuevas aventuras y oportunidades labolares.

Cada día cerramos más acuerdos con grandes empresas, puedes consultar la lista completa de empresas colaboradoras aquí:

• OWASTP Top 10 (sitio oficial) →
• Guía detallada de los ataques de OWASP Top 10 →

Twittear