Riesgo A6 en OWASP - Configuración de seguridad incorrecta

Author
By Darío Rivera
Posted on 2021-12-03 in OWASP

En nuestro post Qué es OWASP y por qué todo desarrollador debería conocerlo vimos una introducción a OWASP y por qué es tan importante en el desarrollo de aplicaciones web. Dentro del proyecto TOP TEN, vamos a ahondar un poco en cada una de los diez riesgos de seguridad más críticos en aplicaciones web. Hoy es el turno del Riesgo A6 - Configuración de seguridad incorrecta.

Definición

Este riesgo refiere a cualquier vulnerabilidad sin su debido patch (es decir, aplicaciones con errores de seguridad detectados) y errores en la configuración que permiten acceder a cuentas por defecto, archivos, directorios o páginas desprotegidas.

Ejemplos

- Ambientes de desarrollo o pruebas con credenciales de acceso por defecto como admin@admin.com / 12345.
- Entornos configurados para presentar errores de código al usuario o listados de ficheros en los servidores web.

Prevención

- No utilizar plataformas/frameworks con muchas funciones, componentes o servicios que no se van a utilizar.
- Las aplicaciones deben tener una arquitectura segmentada que permita la separación segura de componente y acceso a terceros, contenedores o grupos de seguridad en la nube (ACLs).
- Se debe tener un proceso para revisar y actualizar las configuraciones por defecto y gestión de parches de seguridad en las aplicaciones.
- Se debe utilizar un proceso automatizado para verificar la efectividad de los ajustes y configuraciones en todos los ambientes. 


Acerca de Darío Rivera

Author

Ingeniero de desarrollo en PlacetoPay , Medellín. Darío ha trabajado por más de 6 años en lenguajes de programación web especialmente en PHP. Creador del microframework DronePHP basado en Zend y Laravel.

Sólo aquellos que han alcanzado el éxito saben que siempre estuvo a un paso del momento en que pensaron renunciar.