Protección web con ESAPI y AppSensor

El Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) provee algunas soluciones para fortalecer la seguridad en aplicaciones web y mitigar el riesgo de que las dos vulnerabilidades mencionadas con anterioridad sean encontradas y explotadas. En ésta investigación analizaremos sólo dos de estos proyectos: La API de Seguridad Empresarial (ESAPI por sus siglas en inglés) y el AppSensor.

La ESAPI es un conjunto de interfaces de control de seguridad que define tipos de parámetros que son enviados a tipos de controles de seguridad; cada implementación tiene una referencia y las implementaciones se pueden realizar de acuerdo a las necesidades de cada organización.

Los siguientes controles de seguridad tienen su respectiva referencia de implementación para la ESAPI: autenticación, control de acceso, validación de entrada, codificación de salida, criptografía, manejo de error, seguridad de comunicación, seguridad HTTP y configuración de seguridad.

El AppSensor es un marco de control cuyo principal objetivo es detector actividades maliciosas de un usuario desde adentro de la aplicación. Debido a que un atacante debe de tratar varias veces de identificar cuál es la sentencia o combinación de comandos de SQL o de scripts que pueden llevar a explotar la vulnerabilidad, el AppSensor los identifica y detiene las acciones del usuario o atacante cuando los límites establecidos se han sobrepasado.

Dependiendo del tipo de ataque identificado, el AppSensor puede tomar alguna de las siguientes acciones: mensaje de violación de seguridad, finalizar la sesión del usuario, bloqueo de cuenta del usuario, notificación al administrador. Además, el AppSensor provee puntos de detección por tipo de excepción como: solicitud de comandos tiene 4 puntos de detección; la autenticación tiene 11, control de acceso tiene 6, sesión tiene 4, input tiene 2, codificación tiene 2, inyección de comando tiene 4, el archivo de Entrada/Salida tiene 2, tendencia de usuario tiene 4 y sistema tiene 3.

Ambos proyectos son flexibles en su implementación y las organizaciones tienen libertad de elegir la forma en la que mejor pueden ser implementados basados en su apetito de riesgo y marco de control. Ambas soluciones pueden ser personalizadas y actualizadas de manera constante por la industria de la seguridad de la información.

Manuel López

Manuel López cuenta con 10 años de experiencia en Auditorias de TI y Seguridad de la Información principalmente en el sector financiero. Manuel gusta de incrementar y difundir el conocimiento en técnicas de seguridad y desarrollo seguro de software y desde hace un año participa activamente en OWASP al ser co-fundador del capítulo Guadalajara.

Más información.

2 Comments

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *