viernes, septiembre 21, 2007

¿Se durmió la seguridad en mi aplicación?

Ya le he confesado en algún post anterior, mis aplicaciones tienden a ser muy débiles. Pero por suerte hace tiempo que vengo tratando de cambiar esto. Les quiero presentar dos cosas: primero una lista (top 10) de vulnerabilidades explotadas en los sitios web. El origen de este listado proviene desde al OWASP (Open Web Application Security Project). Esta organización realiza estudios de seguridad no sólo a nivel web, sino para cualquier tipo de aplicación de software.

Aquí va la lista, para más info, ver los links correspondientes:
A1 - Cross Site Scripting (XSS)
A2 - Injection Flaws
A3 - Malicious File Execution
A4 - Insecure Direct Object Reference
A5 - Cross Site Request Forgery (CSRF)
A6 - Information Leakage and Improper Error Handling
A7 - Broken Authentication and Session Management
A8 - Insecure Cryptographic Storage
A9 - Insecure Communications
A10 - Failure to Restrict URL Access

Lo segundo que les quería presentar es un nuevo framework que nos permite controlar la seguridad de nuestra aplicación Web Java, casi sin importar el framework controlador que usemos (siempre y cuando sea Spring ó Struts 1 y 2). Se llama HDIV (HTTP Data Integrity Validator), es open-source y configurable en XML.
Recomiendo bajar la presentación PPT donde se expone de manera rápida la propuesta de este framework (según prometen, el costo en performance es muy bajo, repito, según prometen). Aún no lo he probado en profundidad, cuando lo haga, comentaré más a fondo.

Saludos

1 Comments:

At 7:49 p. m., Blogger Julio Cesar said...

Tienes una referencia para struts 2, he tenido broncas para implementarlo. te agradecería bastante

 

Publicar un comentario

<< Home