OWASP Uruguay
OWASP TOP 10 2021
OWASP UY
Introducción
2003
2004
owasp.org/uruguay
Introducción
owasp.org/uruguay
Audiencia
owasp.org/uruguay
Ser un documento de concientización:
Plantear la importancia de la seguridad informática en el desarrollo de aplicaciones web.
NO son objetivos del OWASP Top 10:
Ser un estándar de la industria AppSec (aunque es de facto).
Ser un estándar de codificación o pruebas.
Objetivo
owasp.org/uruguay
Destacan
owasp.org/uruguay
https://www.owasptopten.org/
Status
Recolección de datos
Encuesta a la industria
Análisis de datos
Escritura
Web Responsive y versión Móvil
PDF y Poster
Revisión
Traducciones
owasp.org/uruguay
Previaturas
CWE (Common Weakness Enumeration) - https://cwe.mitre.org/
Lista unificada de tipos de debilidades (SW y HW) que incluye debilidades de arquitectura, diseño y código.
owasp.org/uruguay
Previaturas
CVE (Common Vulnerabilities and Exposures) https://cve.mitre.org/cve/search_cve_list.html
Lista de vulnerabilidades y exposiciones de seguridad de la información divulgadas públicamente.
owasp.org/uruguay
Previaturas
Camino Pavimentado (Paved Road)
El concepto de camino pavimentado ("paved road") en seguridad informática es una forma concisa de expresar que el camino más rápido también es el más seguro.
Si a mi equipo de desarrollo le proveo pipelines de CI/CD con análisis de código estático incluído, ¿Quién va a compilar a mano y a no analizarlo?
owasp.org/uruguay
A01:2021
Pérdida de Control de Acceso
owasp.org/uruguay
Pérdida de Control de Acceso
A01:2021
https://e-commerce.com/paquetes/fotos/12987.jpg
https://e-commerce.com/misdatos/tarjetas/spassaro
owasp.org/uruguay
34 CWEs
19k CVEs
Encontrada en 3.8% apps
Ocurrió 318k veces
Explotabilidad ponderada: 6.9
Impacto ponderado : 5.9
Pérdida de Control de Acceso
A01:2021
owasp.org/uruguay
Tips
34 CWEs
19k CVEs
Encontrada en 3.8% apps
Ocurrió 318k veces
Explotabilidad ponderada: 6.9
Impacto ponderado : 5.9
Pérdida de Control de Acceso
A01:2021
owasp.org/uruguay
Recursos
34 CWEs
19k CVEs
Encontrada en 3.8% apps
Ocurrió 318k veces
Explotabilidad ponderada: 6.9
Impacto ponderado : 5.9
Pérdida de Control de Acceso
A01:2021
owasp.org/uruguay
Fallas Criptográficas
A02:2021
owasp.org/uruguay
import smtplib, ssl
port = 465
password = 'manyaobolsonomevaninguno'
user_email = 'my@gmail.com'
context = ssl.create_default_context()
with smtplib.SMTP_SSL("smtp.gmail.com", port, context=context) as server:
server.login(user_email, password)
# TODO: Send email here
Fallas Criptográficas
A02:2021
owasp.org/uruguay
A02:2021
29 CWEs
3075 CVEs
Encontrada en 4.5% apps
Ocurrió 234k veces
Explotabilidad ponderada: 7.3
Impacto ponderado: 6.8
Fallas Criptográficas
owasp.org/uruguay
Tips
A02:2021
29 CWEs
3075 CVEs
Encontrada en 4.5% apps
Ocurrió 234k veces
Explotabilidad ponderada: 7.3
Impacto ponderado: 6.8
Fallas Criptográficas
owasp.org/uruguay
Recursos
A02:2021
29 CWEs
3075 CVEs
Encontrada en 4.5% apps
Ocurrió 234k veces
Explotabilidad ponderada: 7.3
Impacto ponderado: 6.8
Fallas Criptográficas
owasp.org/uruguay
A03:2021
Inyección
owasp.org/uruguay
https://mysite.com/error.aspx?msg=<img src='1' onerror='JS_aqui()'>
A03:2021
Inyección
owasp.org/uruguay
A03:2021
Inyección
@app.route("/login")
def login():
email = request.values.get('email')
password = request.values.get('password')
db = pymysql.connect("localhost")
cursor = db.cursor()
cursor.execute("SELECT * FROM users "
+"WHERE email='%s' AND password='%s'" % (email, SHA256(password)))
owasp.org/uruguay
SELECT * FROM users WHERE
email='mail'OR'1'='1'OR'x'='@domain.com' AND password='8f…ae23'
A03:2021
Inyección
https://www.w3.org/TR/2012/WD-html-markup-20120329/input.email.html#input.email.attrs.value.single
/^[a-zA-Z0-9.!#$%&’*+/=?^_`{|}~-]+@[a-zA-Z0-9-]+(?:\.[a-zA-Z0-9-]+)*$/
Alternativa: email='mail'/**/OR/**/'1'='1'/**/OR/**/'x'='@domain.com'
FALSE
TRUE
FALSE
owasp.org/uruguay
A03:2021
33 CWEs
32k CVEs
Encontrada en 3.4% apps
Ocurrió 274k veces
Explotabilidad ponderada: 7.3
Impacto ponderado: 7.2
Inyección
owasp.org/uruguay
Tips
A03:2021
33 CWEs
32k CVEs
Encontrada en 3.4% apps
Ocurrió 274k veces
Explotabilidad ponderada: 7.3
Impacto ponderado: 7.2
Inyección
owasp.org/uruguay
Recursos
A03:2021
33 CWEs
32k CVEs
Encontrada en 3.4% apps
Ocurrió 274k veces
Explotabilidad ponderada: 7.3
Impacto ponderado: 7.2
Inyección
owasp.org/uruguay
A04:2021
Diseño Inseguro
owasp.org/uruguay
Perdón pero para este no tengo ejemplo gráfico simple
A04:2021
Diseño Inseguro
owasp.org/uruguay
A04:2021
40 CWEs
2691 CVEs
Encontrada en 3.0% apps
Ocurrió 262k veces
Explotabilidad ponderada: 6.5
Impacto ponderado: 6.8
Diseño Inseguro
owasp.org/uruguay
Tips
A04:2021
40 CWEs
2691 CVEs
Encontrada en 3.0% apps
Ocurrió 262k veces
Explotabilidad ponderada: 6.5
Impacto ponderado: 6.8
Diseño Inseguro
owasp.org/uruguay
Recursos
A04:2021
40 CWEs
2691 CVEs
Encontrada en 3.0% apps
Ocurrió 262k veces
Explotabilidad ponderada: 6.5
Impacto ponderado: 6.8
Diseño Inseguro
owasp.org/uruguay
A05:2021
Configuración de
Seguridad Incorrecta
owasp.org/uruguay
A05:2021
Configuración de Seguridad Incorrecta
owasp.org/uruguay
A05:2021
20 CWEs
789 CVEs
Encontrada en 4.5% apps
Ocurrió 208k veces
Explotabilidad ponderada: 8.1
Impacto ponderado: 6.6
Configuración de Seguridad Incorrecta
owasp.org/uruguay
Tips
A05:2021
20 CWEs
789 CVEs
Encontrada en 4.5% apps
Ocurrió 208k veces
Explotabilidad ponderada: 8.1
Impacto ponderado: 6.6
Configuración de Seguridad Incorrecta
owasp.org/uruguay
Recursos
A05:2021
20 CWEs
789 CVEs
Encontrada en 4.5% apps
Ocurrió 208k veces
Explotabilidad ponderada: 8.1
Impacto ponderado: 6.6
Configuración de Seguridad Incorrecta
owasp.org/uruguay
A05:2021
20 CWEs
789 CVEs
Encontrada en 4.5% apps
Ocurrió 208k veces
Explotabilidad ponderada: 8.1
Impacto ponderado: 6.6
owasp.org/uruguay
A06:2021
Componentes Vulnerables y Desactualizados
owasp.org/uruguay
A06:2021
Componentes Vulnerables y Desactualizados
owasp.org/uruguay
Tips
A06:2021
3 CWEs
0 CVEs
Encontrada en 8.8% apps
Ocurrió 30k veces
Explotabilidad ponderada: 5.0
Impacto ponderado: 5.0
Componentes Vulnerables y Desactualizados
owasp.org/uruguay
Recursos
A06:2021
3 CWEs
0 CVEs
Encontrada en 8.8% apps
Ocurrió 30k veces
Explotabilidad ponderada: 5.0
Impacto ponderado: 5.0
Componentes Vulnerables y Desactualizados
owasp.org/uruguay
A07:2021
Fallas de Identificación y Autenticación
owasp.org/uruguay
¿Cuál es el nombre de tu primera mascota? Firulais 🐶
A07:2021
Fallas de Identificación y Autenticación
owasp.org/uruguay
A07:2021
22 CWEs
3897 CVEs
Encontrada en 2.6% apps
Ocurrió 132k veces
Explotabilidad ponderada: 7.4
Impacto ponderado: 6.5
Fallas de Identificación y Autenticación
owasp.org/uruguay
Tips
A07:2021
22 CWEs
3897 CVEs
Encontrada en 2.6% apps
Ocurrió 132k veces
Explotabilidad ponderada: 7.4
Impacto ponderado: 6.5
Fallas de Identificación y Autenticación
owasp.org/uruguay
Recursos
A07:2021
22 CWEs
3897 CVEs
Encontrada en 2.6% apps
Ocurrió 132k veces
Explotabilidad ponderada: 7.4
Impacto ponderado: 6.5
Fallas de Identificación y Autenticación
owasp.org/uruguay
A08:2021
Fallas en el Software y en la Integridad de los Datos
owasp.org/uruguay
{'username':'spassaro','expires_in':'2022/10/10'}
Cookie: remember_me=eyd1c2VybmFtZSc6J3NwYXNzYXJvJywnZXhwaXJlc19pbic6JzIwMjIvMTAvMTAnfQ==
{'username':'jperez','expires_in':'9999/10/10'}
Cookie: remember_me=eyd1c2VybmFtZSc6J2pwZXJleicsJ2V4cGlyZXNfaW4nOic5OTk5LzEwLzEwJ30=
A08:2021
Fallas en el Software y en la Integridad de los Datos
owasp.org/uruguay
A08:2021
10 CWEs
1152 CVEs
Encontrada en 2.0% apps
Ocurrió 47.9k veces
Explotabilidad ponderada: 6.9
Impacto ponderado: 7.9
Fallas en el Software y en la Integridad de los Datos
owasp.org/uruguay
Tips
A08:2021
10 CWEs
1152 CVEs
Encontrada en 2.0% apps
Ocurrió 47.9k veces
Explotabilidad ponderada: 6.9
Impacto ponderado: 7.9
Fallas en el Software y en la Integridad de los Datos
owasp.org/uruguay
Recursos
A08:2021
10 CWEs
1152 CVEs
Encontrada en 2.0% apps
Ocurrió 47.9k veces
Explotabilidad ponderada: 6.9
Impacto ponderado: 7.9
Fallas en el Software y en la Integridad de los Datos
owasp.org/uruguay
A09:2021
Fallas en el Registro y Monitoreo
owasp.org/uruguay
import requests
with open('passwords.txt') as f:
passwords = f.readlines()
for p in passwords:
resp = requests.post("https://sitio.com/login", data={"user":"jperez","password":p})
if resp.status_code == 302 and resp.headers["Location"] == "https://sitio.com/home":
print("Password:" + p)
A09:2021
Fallas en el Registro y Monitoreo
owasp.org/uruguay
Logs:
A09:2021
Fallas en el Registro y Monitoreo
owasp.org/uruguay
A09:2021
4 CWEs
242 CVEs
Encontrada en 6.5% apps
Ocurrió 53.6k veces
Explotabilidad ponderada: 6.9
Impacto ponderado: 5.0
Fallas en el Registro y Monitoreo
owasp.org/uruguay
Tips
A09:2021
4 CWEs
242 CVEs
Encontrada en 6.5% apps
Ocurrió 53.6k veces
Explotabilidad ponderada: 6.9
Impacto ponderado: 5.0
Fallas en el Registro y Monitoreo
owasp.org/uruguay
Recursos
A09:2021
4 CWEs
242 CVEs
Encontrada en 6.5% apps
Ocurrió 53.6k veces
Explotabilidad ponderada: 6.9
Impacto ponderado: 5.0
Fallas en el Registro y Monitoreo
owasp.org/uruguay
A10:2021
Falsificación de Solicitudes
del Lado del Servidor (SSRF)
owasp.org/uruguay
A10:2021
Falsificación de Solicitudes
del Lado del Servidor (SSRF)
owasp.org/uruguay
A10:2021
Falsificación de Solicitudes
del Lado del Servidor (SSRF)
http://169.254.169.254/latest/meta-data/iam/security-credentials/ ⇒ ec2-default-ssm
http://169.254.169.254/latest/meta-data/iam/security-credentials/ec2-default-ssm
Fuente: https://hackingthe.cloud/aws/exploitation/ec2-metadata-ssrf/
owasp.org/uruguay
A10:2021
1 CWEs
385 CVEs
Encontrada en 2.7% apps
Ocurrió 9.5k veces
Explotabilidad ponderada: 8.2
Impacto ponderado: 6.7
Falsificación de Solicitudes
del Lado del Servidor (SSRF)
owasp.org/uruguay
Tips
A10:2021
1 CWEs
385 CVEs
Encontrada en 2.7% apps
Ocurrió 9.5k veces
Explotabilidad ponderada: 8.2
Impacto ponderado: 6.7
Falsificación de Solicitudes
del Lado del Servidor (SSRF)
owasp.org/uruguay
Recursos
A10:2021
1 CWEs
385 CVEs
Encontrada en 2.7% apps
Ocurrió 9.5k veces
Explotabilidad ponderada: 8.2
Impacto ponderado: 6.7
Falsificación de Solicitudes
del Lado del Servidor (SSRF)
owasp.org/uruguay
A11:2021
Siguientes pasos
owasp.org/uruguay
Redondeando
owasp.org/uruguay
The end
@spassarop
owasp.org/uruguay