Seguridad de Aplicaciones Web

This course will become read-only in the near future. Tell us at community.p2pu.org if that is a problem.

Semana 2. Fallas en los Controles de Acceso [Oct. 5, 2011, 6:51 p.m.]

1. Lectura

Lea las lecciones sobre Fallas en Controles de Acceso "Access Control Flaws" de WebGoat, asi como los documentos adjuntos a estas.

1.1 Prevención

Los puntos por verificar en los controles de acceso de una aplicación listados en [2] son:

  1. Los usuarios puede ingresar a funciones protegidas solo cuando poseen autorizción específica.
  2. Los usuarios sólo pueden ingresar a URLs para los cuales tienen autorización específica.
  3. Los usuarios sólo pueden ingresar a archivos de datos para los cuales tienen autorización específica.
  4. Las referencias directas a objetos están protegidas, de forma que sólo los objetos autorizados sean utilizables a cada usuario.
  5. Está deshabilitada la posibilidad de examinar directorios a menos que se desee deliberadamente.
  6. Los usuarios sólo pueden ingresar a servicios para los cuales tienen autorización específica.
  7. Los usuarios sólo pueden ingresar a datos para los cuales tienen autorización específica.
  8. Los controles de acceso fallan de forma segura.
  9. Las mismas regleas de control de acces empleadas en la capa de presentación son aseguradas al lado del servidor.
  10. Todos los usuarios y los atributos de datos y políticas sobre la información utilizadas por los usuarios finales no pueden ser manipuladas excepto con autorización específica.
  11. Los controles de acceso son aseguradso al lado del servidor.
  12. Hay un mecanismo centralizado (incluyendo librerías que llaman sericios de autorización externos) que protege el ingreso a recursos privados.
  13. Las limitaciones en la entrada y en el acceso impuestas por el negocio de la aplicación (tales como límite de transacciones diarias o secuenciamiento de tareas) no puede sobrepasarse.
  14. Todas las decisiones de control de acceso pueden registrarse en bitácoras y todas las fallas son registradas.
  15. Todo el código que implementa o usa controles de acceso no está afectado por tipo alguno de código malicioso.

 

2. Práctica

Realice las prácticas sobre Fallas en Controles de Acceso de WebGoat.

 

3. Ejercicios

  1. ¿Cómo le parecieron las prácticas, en cual ha tenido dificultad?
  2. En su lenguaje de programación favorito y con su ambiente (framework) favorito ¿cómo previene Fallas en los Controles de Acceso?

Lo invitamos a comentar sus respuestas y sobre las respuestas de otros participantes, si responde en un blog por favor referencielo como comentario a esta tarea.

 

4. Bibliografía:

  1. Proyecto WebGoat OWASP. https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project. 2011
  2. OWASP Application Security Standard 2009. http://www.owasp.org/index.php/Projects/OWASP_Application_Security_Verification_Standard_Project/Releases/ASVS_-_2009_Edition

 

6. Términos y Condiciones Especiales

Este escrito se cede al dominio público de acuerdo a la legislación colombiana, agradeciendo se de crédito a Pasos de Jesús y a Jessica Ledbetter. 2011.  Ver https://www.pasosdejesus.org/dominio_publico_colombia.html.