owasp: un punto de vista pragmático para el desarrollo...
TRANSCRIPT
![Page 1: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/1.jpg)
OWASP: Un punto de vista pragmático para el desarrollo depragmático para el desarrollo de
aplicaciones webseguras
Armando Carvajal ([email protected])Gerente Arquitecto Soluciones ‐ Globaltek Security
Master en seguridad informática Universidad Oberta de CatalunyaMaster en seguridad informática Universidad Oberta de CatalunyaEspecialista en construcción de software para redes ‐ Uniandes
Ing. Sistemas – Universidad Incca de Colombia
![Page 2: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/2.jpg)
INDICEINDICE
Definición de OWASPEmpresas participantesUniversidades participantesProyectos críticos de OWASPHerramientas de OWASPEjemplos de código vulnerablesBibliografíaBibliografía
![Page 3: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/3.jpg)
Qué es OWASP?Qué es OWASP?
Proyecto “open-source” para dar a conocer ycontrarrestar las causas del software inseguroOWASP es una organización sin ánimo delucro de tipo 501c3 (Normativa de EEUU)www.owasp.orgInicia el 9 de Septiembre de 2001Fundada por Mark Curphey y Dennis Groves
![Page 4: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/4.jpg)
OWASP…OWASP…Actualmente tiene más de 7000 miembros yestán divididos en 130 capítulos localesestán divididos en 130 capítulos localesLa lista de correo para Colombia se encuentraen la siguiente dirección:ghttps://lists.owasp.org/mailman/listinfo/owasp-colombia
![Page 5: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/5.jpg)
Empresas participantes:Empresas participantes:
![Page 6: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/6.jpg)
Universidades participantes:p p
![Page 7: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/7.jpg)
Proyectos de OWASP Construcción de Aplicaciones Educación
y
Building GuideCLASPAJAX
Top 10WebGoatConferenciasAJAX
.NET, JAVA, PHP, Python, RubyConferenciasSite Generator
Verificación Comunidad
Testing GuideWebScarabValidation
ChaptersWiki PortalMailing ListValidation
CertificationMailing ListBlogs
Adaptado de “Aportación de OWASP a la comunidad internacional” http://www.owasp.org/index.php/Spain
![Page 8: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/8.jpg)
Principales ProyectosPrincipales ProyectosPublicaciones– Top Ten– Testing Guide
B ildi G id– Building GuideHerramientas
WebScarab– WebScarab– WebGoat
Tomado dehttp://www.owasp.org
![Page 9: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/9.jpg)
Proyecto: Top 10Proyecto: Top 10A partir de 2010 lista los 10riesgos de seguridad masriesgos de seguridad mascríticos en aplicaciones WebLa guía cuenta con laexplicación y clasificaciónexplicación y clasificacióndel riesgo, consejos decómo determinar si se estáen riesgo y cómo prevenirloen riesgo y cómo prevenirlo,contiene ejemplos deescenarios de ataque yreferencias bibliográficas
Video: No es lo mismo vulnerabilidad que riesgo
referencias bibliográficas
![Page 10: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/10.jpg)
Comparación de los Top 10p p
12
Inyección
XSS
8
10
Autenticación y Sesión
Referencia Directa
CSRF
Configuración Errónea
6
8 Configuración ErróneaAlmacenamiento
Acceso URL
Capa Transporte
2
4 Redirección inválidaMalware
Gestión de Errores
V lid ió C0
2004 2007 2010
A ño
Validación Campos
Desbordamiento de PilaDenegación de Servicio
![Page 11: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/11.jpg)
P t T ti G idProyecto: Testing GuideGuía para definir una metodología de pruebas deseguridad en entornos Web enfocada en el SLDC(Ciclo de Vida del Desarrollo de Software)
Tomado de “Guía de pruebas OWASP” http://www.owasp.org
![Page 12: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/12.jpg)
Entorno de PruebasEntorno de PruebasFase 1: Antes de empezar el desarrollo
Tomado de “Guía de pruebas OWASP” http://www.owasp.org
![Page 13: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/13.jpg)
Entorno de Pruebas…Entorno de Pruebas…Fase 2: Durante definición y diseño
Tomado de “Guía de pruebas OWASP” http://www.owasp.org
![Page 14: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/14.jpg)
Entorno de Pruebas…Entorno de Pruebas…
ModelosDe
Amenazas
Tomado de “Guía de pruebas OWASP” http://www.owasp.org
![Page 15: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/15.jpg)
Entorno de Pruebas…Entorno de Pruebas…Fase 3: Durante el desarrollo
Tomado de “Guía de pruebas OWASP” http://www.owasp.org
![Page 16: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/16.jpg)
Entorno de Pruebas…Entorno de Pruebas…Fase 4: Durante el despliegue
Tomado de “Guía de pruebas OWASP” http://www.owasp.org
![Page 17: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/17.jpg)
Entorno de Pruebas…Entorno de Pruebas…Fase 5: Mantenimiento y Operación
Tomado de “Guía de pruebas OWASP” http://www.owasp.org
![Page 18: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/18.jpg)
Proyecto: Building GuideProyecto: Building GuideEl título original es “A Guide to BuildingS W b A li ti d W b S iSecure Web Applications and Web ServicesEs una guía para diseñar, desarrollar yd l li i W b Sdesplegar aplicaciones Web Seguras,implementar buenas prácticas, determinar sise es vulnerable y cómo corregir lasse es vulnerable y cómo corregir lasdeficiencias
![Page 19: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/19.jpg)
Building Guide...Building Guide...Aborda temas como:
P i i i d difi ió– Principios de codificación segura– Modelado de riesgos y amenazas– Pagos en lineaPagos en linea– Phishing– Servicios Web– Autenticación (Contraseñas, Captcha)– Autorización (ACLs)– Manejo de Sesiones– Manejo de Sesiones
![Page 20: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/20.jpg)
Building Guide…Building Guide…Aborda temas como:– Validación de Datos– Manejo de Errores y Logs
Si t d A hi– Sistema de Archivos– Buffer Overflows– Cifrado de datos confidenciales
Video: El genero femenino no sufre de B ff O fl– Cifrado de datos confidenciales
– Denegación de servicio– XSS
Buffer Overflows
![Page 21: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/21.jpg)
¿Concurso millonario: Qué es OWASP?¿Concurso millonario: Qué es OWASP?
A) B)
Especie de insectos himenópteros Una banda de música rock americana
C)
![Page 22: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/22.jpg)
Respuesta correcta: C)Respuesta correcta:
A) B)
C)
Especie de insectos himenópteros Una banda de música rock americana
C)
![Page 23: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/23.jpg)
HERRAMIENTAS
![Page 24: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/24.jpg)
WebScarabWebScarabHerramienta desarrollada en Java que
it ll b b d id dpermite llevar acabo pruebas de seguridadsobre aplicaciones y servicios WebOb l t áfi HTTP HTTPS t dObserva el tráfico HTTP y HTTPS actuandocomo proxy entre el cliente y el servidor,pudiendo modificar la informaciónpudiendo modificar la informacióntransmitidahttp://sourceforge net/projects/owasp/files/Whttp://sourceforge.net/projects/owasp/files/WebScarab/
![Page 25: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/25.jpg)
WebScarab...WebScarab...Analiza los cookies para determinar si son
d ibl l t k d iópredecibles los tokens de sesiónRealiza sustitución automatizada de
á t d t t lid i dparámetros para detectar validaciones deentradas deficienteshttp://www owasp org/index php/Category:Ohttp://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
![Page 26: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/26.jpg)
WebScarabWebScarab
![Page 27: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/27.jpg)
![Page 28: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/28.jpg)
WebGoatWebGoatAplicación J2EE que fue desarrolladai t i l t i l fi dintencionalmente insegura con el fin deenseñar las vulnerabilidades de lasaplicaciones Web mediante ejemplosaplicaciones Web mediante ejemplosprácticos sobre la misma aplicaciónhttp://sourceforge net/projects/owasp/files/Whttp://sourceforge.net/projects/owasp/files/WebGoat
![Page 29: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/29.jpg)
WebGoatWebGoatAborda temas como:– XSS– SQL Injection
M i l ió d lt– Manipulación de campos ocultos– Cookies de sesión– Control de Acceso– Control de Acceso– Web Services– Fugas de informacióng
![Page 30: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/30.jpg)
CODIGO CON ALGUNOS ERRORES
![Page 31: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/31.jpg)
Error: No cifrar datos sensibles
![Page 32: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/32.jpg)
Error: No validar metacaracteres
![Page 33: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/33.jpg)
Error: phpinfo.php
![Page 34: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/34.jpg)
Error: Herramientas no ven todo
![Page 35: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/35.jpg)
Error: Herramientas no ven todo
![Page 36: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/36.jpg)
HERRAMIENTASHERRAMIENTASDEMO
WebScarab
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
![Page 37: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/37.jpg)
Excelente ejemplo de esfuerzo enExcelente ejemplo de esfuerzo en asegurar aplicaciones
![Page 38: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/38.jpg)
Algunas conclusiones:Algunas conclusiones:Hay que usar metodologías de desarrollo
OWASP t d l tseguro como OWASP en todas las etapas del ciclo de vida del softwareS d b if l i f ió iblSe debe cifrar la información sensibleEl hacking ético usa herramientas para buscar vulnerabilidades pero no se debebuscar vulnerabilidades pero no se debe excluir la comprobación por parte de un especialista (confirmación con penetración)especialista (confirmación con penetración)
![Page 39: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/39.jpg)
Algunas conclusiones:Algunas conclusiones:Hay que revisar todos las superficies de ataque de las aplicacionesataque de las aplicacionesHay que usar autenticación biométrica para reforzar los actuales passwords débilespYa existe el diccionario generado por fuerza bruta de 5 caracteresEn el 2011 ya estará listo el diccionario de fuerza bruta para 6 caracteres2013: Diccionario 8 caracteres 4 Petabytes
![Page 40: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/40.jpg)
BibliografíaBibliografíaAGUILERA, V. Aportación de la OWASP a la
id d i t i l Th OWASPcomunidad internacional. The OWASP Foundation. Marzo 2008FERNÁNDEZ J P t ió d l tFERNÁNDEZ, J. Presentación del proyecto OWASP. Conferencias FIST. Madrid. Diciembre 2005Diciembre 2005OWASP Foundation. Guía de pruebas OWASP Versión 3 2008OWASP Versión 3, 2008
![Page 41: OWASP: Un punto de vista pragmático para el desarrollo ...52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Confer... · z.NET, JAVA, PHP, Python, Ruby zSite Generator Verificación](https://reader031.vdocumento.com/reader031/viewer/2022013007/5bd6667609d3f26d578b4e62/html5/thumbnails/41.jpg)
Bibliografía…Bibliografía…OWASP Foundation. OWASP Top 10 –2010 Th t t iti l W b li ti2010. The ten most critical Web applications security risks 2010OWASP F d ti U í t iOWASP Foundation. Una guía para construir aplicaciones y servicios Web seguros. Julio de 2005de 2005Paco Hope & Ben Walther, Web security Testing Cookbook O’reilly 2009Testing Cookbook, O reilly, 2009