Què és ASVS?
L'Application Security Verification Standard (ASVS) és un projecte d'OWASP que proporciona un marc per verificar la seguretat de les aplicacions. L'objectiu principal d'ASVS és ajudar els desenvolupadors, auditors i organitzacions a definir, construir i verificar controls de seguretat en aplicacions web.
Objectius d'ASVS
- Establir un estàndard de seguretat: Proporcionar un conjunt de requisits de seguretat que les aplicacions han de complir.
- Facilitar la verificació de seguretat: Ajudar els auditors a avaluar la seguretat de les aplicacions de manera consistent.
- Millorar la qualitat de les aplicacions: Ajudar els desenvolupadors a construir aplicacions més segures des del principi.
Components d'ASVS
ASVS es compon de diversos components clau que ajuden a estructurar i verificar la seguretat de les aplicacions:
- Nivells de Verificació: Defineixen diferents nivells de rigor en la verificació de seguretat.
- Requisits de Seguretat: Llista de controls de seguretat que les aplicacions han de complir.
- Guies de Verificació: Proporcionen instruccions detallades sobre com verificar cada requisit de seguretat.
Nivells de Verificació
ASVS defineix tres nivells de verificació, cadascun amb un grau diferent de rigor:
| Nivell | Descripció |
|---|---|
| 1 | Verificació Oportunista: Controls bàsics de seguretat per a aplicacions amb baix risc. |
| 2 | Verificació Estàndard: Controls de seguretat per a aplicacions amb risc moderat. |
| 3 | Verificació Rigorosa: Controls de seguretat per a aplicacions amb alt risc. |
Exemple de Nivells de Verificació
Nivell 1: Verificació Oportunista - Requisit: Les contrasenyes han de tenir almenys 8 caràcters. - Verificació: Revisió manual del codi per assegurar que les contrasenyes compleixen el requisit. Nivell 2: Verificació Estàndard - Requisit: Les contrasenyes han de tenir almenys 12 caràcters i incloure majúscules, minúscules, números i símbols. - Verificació: Revisió manual del codi i proves automatitzades per assegurar que les contrasenyes compleixen el requisit. Nivell 3: Verificació Rigorosa - Requisit: Les contrasenyes han de tenir almenys 16 caràcters i incloure majúscules, minúscules, números i símbols. - Verificació: Revisió manual del codi, proves automatitzades i auditories externes per assegurar que les contrasenyes compleixen el requisit.
Requisits de Seguretat
Els requisits de seguretat d'ASVS es divideixen en diverses categories, com ara:
- Autenticació: Controls per assegurar que només els usuaris autoritzats poden accedir a l'aplicació.
- Autorizació: Controls per assegurar que els usuaris només poden accedir a les dades i funcionalitats que els corresponen.
- Gestió de Sessions: Controls per assegurar que les sessions d'usuari són segures.
- Validació d'Entrada: Controls per assegurar que totes les dades d'entrada són vàlides i segures.
- Protecció de Dades: Controls per assegurar que les dades sensibles estan protegides.
Exemple de Requisit de Seguretat
Requisit: Les contrasenyes han de ser emmagatzemades de manera segura. - Verificació: Revisió del codi per assegurar que les contrasenyes es xifren amb un algoritme segur com bcrypt.
Implementació d'ASVS en Projectes
Per implementar ASVS en un projecte, segueix aquests passos:
- Selecciona el Nivell de Verificació: Determina el nivell de verificació adequat per a la teva aplicació basant-te en el seu risc.
- Defineix els Requisits de Seguretat: Llista els requisits de seguretat que la teva aplicació ha de complir.
- Implementa els Controls de Seguretat: Assegura't que la teva aplicació compleix amb els requisits de seguretat definits.
- Verifica la Seguretat: Realitza revisions manuals del codi, proves automatitzades i auditories externes per verificar que la teva aplicació compleix amb els requisits de seguretat.
Conclusió
L'ASVS és una eina poderosa per assegurar la seguretat de les aplicacions web. Proporciona un marc estructurat per definir, implementar i verificar controls de seguretat, ajudant a millorar la qualitat i seguretat de les aplicacions des del principi. En el proper mòdul, explorarem en detall els diferents nivells de verificació d'ASVS.
Curs d'OWASP: Directrius i Estàndards per a la Seguretat en Aplicacions Web
Mòdul 1: Introducció a OWASP
Mòdul 2: Principals Projectes d'OWASP
- OWASP Top Ten
- OWASP ASVS (Application Security Verification Standard)
- OWASP SAMM (Software Assurance Maturity Model)
- OWASP ZAP (Zed Attack Proxy)
Mòdul 3: OWASP Top Ten
- A1: Injecció
- A2: Pèrdua d'Autenticació
- A3: Exposició de Dades Sensibles
- A4: Entitats Externes XML (XXE)
- A5: Control d'Accés Trencat
- A6: Configuració Incorrecta de Seguretat
- A7: Cross-Site Scripting (XSS)
- A8: Deserialització Insegura
- A9: Ús de Components amb Vulnerabilitats Conegudes
- A10: Registre i Monitoratge Insuficients
Mòdul 4: OWASP ASVS (Application Security Verification Standard)
Mòdul 5: OWASP SAMM (Software Assurance Maturity Model)
Mòdul 6: OWASP ZAP (Zed Attack Proxy)
- Introducció a ZAP
- Instal·lació i Configuració
- Escaneig de Vulnerabilitats
- Automatització de Proves de Seguretat
Mòdul 7: Bones Pràctiques i Recomanacions
- Cicle de Vida de Desenvolupament Segur (SDLC)
- Integració de Seguretat en DevOps
- Capacitació i Sensibilització en Seguretat
- Eines i Recursos Addicionals
Mòdul 8: Exercicis Pràctics i Casos d'Estudi
- Exercici 1: Identificació de Vulnerabilitats
- Exercici 2: Implementació de Controls de Seguretat
- Cas d'Estudi 1: Anàlisi d'un Incident de Seguretat
- Cas d'Estudi 2: Millora de la Seguretat en una Aplicació Web