En aquest tema, explorarem els diferents nivells de verificació establerts per l'OWASP ASVS (Application Security Verification Standard). Els nivells de verificació proporcionen una guia estructurada per avaluar la seguretat de les aplicacions en funció de la seva complexitat i del risc associat. Aquests nivells ajuden a establir un estàndard comú per a la seguretat de les aplicacions, permetent una avaluació coherent i repetible.
Objectius d'Aprenentatge
Al final d'aquest tema, hauràs de ser capaç de:
- Comprendre els diferents nivells de verificació de l'ASVS.
- Identificar quin nivell de verificació és adequat per a diferents tipus d'aplicacions.
- Aplicar els nivells de verificació en l'avaluació de la seguretat d'una aplicació.
Nivells de Verificació de l'ASVS
L'ASVS defineix tres nivells de verificació, cadascun amb un conjunt específic de requisits de seguretat. Aquests nivells són:
- Nivell 1: Verificació Oportunista
- Nivell 2: Verificació Estàndard
- Nivell 3: Verificació Avançada
Nivell 1: Verificació Oportunista
Aquest nivell és el mínim requisit per a qualsevol aplicació. Està dissenyat per a aplicacions amb un risc baix i que no gestionen informació sensible. Els requisits en aquest nivell són bàsics i cobreixen les vulnerabilitats més comunes.
Objectius del Nivell 1:
- Assegurar que l'aplicació no té vulnerabilitats conegudes.
- Implementar controls de seguretat bàsics.
Exemples de Requisits:
- Validació d'entrada bàsica.
- Protecció contra injeccions SQL.
- Autenticació i gestió de sessions bàsiques.
Nivell 2: Verificació Estàndard
Aquest nivell és adequat per a la majoria d'aplicacions, especialment aquelles que gestionen informació sensible o que tenen un risc moderat. Els requisits en aquest nivell són més detallats i cobreixen una àmplia gamma de controls de seguretat.
Objectius del Nivell 2:
- Proporcionar una seguretat raonable per a aplicacions amb informació sensible.
- Implementar controls de seguretat més avançats.
Exemples de Requisits:
- Validació d'entrada avançada.
- Protecció contra Cross-Site Scripting (XSS).
- Controls d'accés detallats.
Nivell 3: Verificació Avançada
Aquest nivell és per a aplicacions amb un risc alt, com ara aplicacions financeres, de salut o governamentals. Els requisits en aquest nivell són molt detallats i cobreixen tots els aspectes de la seguretat de l'aplicació.
Objectius del Nivell 3:
- Proporcionar la màxima seguretat per a aplicacions crítiques.
- Implementar controls de seguretat exhaustius.
Exemples de Requisits:
- Validació d'entrada rigorosa.
- Protecció contra atacs avançats com la deserialització insegura.
- Monitoratge i registre exhaustius.
Taula Comparativa dels Nivells de Verificació
| Nivell de Verificació | Adequat per a | Objectius Principals | Exemples de Requisits |
|---|---|---|---|
| Nivell 1 | Aplicacions amb risc baix | Controls bàsics de seguretat | Validació d'entrada bàsica, protecció contra injeccions SQL |
| Nivell 2 | Aplicacions amb risc moderat | Seguretat raonable per a informació sensible | Validació d'entrada avançada, protecció contra XSS |
| Nivell 3 | Aplicacions amb risc alt | Màxima seguretat per a aplicacions crítiques | Validació d'entrada rigorosa, protecció contra deserialització insegura |
Exercici Pràctic
Exercici: Identificació del Nivell de Verificació Adequat
-
Llegeix les descripcions següents d'aplicacions i identifica quin nivell de verificació seria més adequat per a cadascuna.
a. Una aplicació de xarxes socials que permet als usuaris compartir fotos i missatges.
b. Una aplicació bancària que gestiona transaccions financeres i informació personal dels usuaris.
c. Un bloc personal que publica articles sobre tecnologia.
Solucions:
-
a. Nivell 2: Verificació Estàndard (gestiona informació sensible dels usuaris).
b. Nivell 3: Verificació Avançada (gestiona informació financera i personal crítica).
c. Nivell 1: Verificació Oportunista (risc baix, no gestiona informació sensible).
Conclusió
Els nivells de verificació de l'ASVS proporcionen una guia estructurada per avaluar la seguretat de les aplicacions en funció del seu risc i complexitat. Comprendre aquests nivells i saber aplicar-los és essencial per garantir que les aplicacions siguin segures i compleixin amb els estàndards de seguretat establerts. En el pròxim tema, explorarem els requisits de seguretat específics per a cada nivell de verificació.
Curs d'OWASP: Directrius i Estàndards per a la Seguretat en Aplicacions Web
Mòdul 1: Introducció a OWASP
Mòdul 2: Principals Projectes d'OWASP
- OWASP Top Ten
- OWASP ASVS (Application Security Verification Standard)
- OWASP SAMM (Software Assurance Maturity Model)
- OWASP ZAP (Zed Attack Proxy)
Mòdul 3: OWASP Top Ten
- A1: Injecció
- A2: Pèrdua d'Autenticació
- A3: Exposició de Dades Sensibles
- A4: Entitats Externes XML (XXE)
- A5: Control d'Accés Trencat
- A6: Configuració Incorrecta de Seguretat
- A7: Cross-Site Scripting (XSS)
- A8: Deserialització Insegura
- A9: Ús de Components amb Vulnerabilitats Conegudes
- A10: Registre i Monitoratge Insuficients
Mòdul 4: OWASP ASVS (Application Security Verification Standard)
Mòdul 5: OWASP SAMM (Software Assurance Maturity Model)
Mòdul 6: OWASP ZAP (Zed Attack Proxy)
- Introducció a ZAP
- Instal·lació i Configuració
- Escaneig de Vulnerabilitats
- Automatització de Proves de Seguretat
Mòdul 7: Bones Pràctiques i Recomanacions
- Cicle de Vida de Desenvolupament Segur (SDLC)
- Integració de Seguretat en DevOps
- Capacitació i Sensibilització en Seguretat
- Eines i Recursos Addicionals
Mòdul 8: Exercicis Pràctics i Casos d'Estudi
- Exercici 1: Identificació de Vulnerabilitats
- Exercici 2: Implementació de Controls de Seguretat
- Cas d'Estudi 1: Anàlisi d'un Incident de Seguretat
- Cas d'Estudi 2: Millora de la Seguretat en una Aplicació Web