{"id":689,"date":"2010-03-15T08:59:21","date_gmt":"2010-03-15T11:59:21","guid":{"rendered":"https:\/\/www.talsoft-security.com\/site\/?p=689"},"modified":"2010-03-15T08:59:21","modified_gmt":"2010-03-15T11:59:21","slug":"el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias","status":"publish","type":"post","link":"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/","title":{"rendered":"El TOP25 de los errores de programaci\u00f3n m\u00e1s comunes y con peores consecuencias"},"content":{"rendered":"<p>Esta semana se ha celebrado en Washington D.C. una convenci\u00f3n de seguridad que reunir\u00eda a expertos en seguridad inform\u00e1tica de todo el mundo, con el instituto SANS y el MITRE como m\u00e1ximos exponentes, para elaborar un TOP que constatar\u00eda los 25 errores de programaci\u00f3n m\u00e1s peligrosos.<\/p>\n<p>En el documento, que pod\u00e9is encontrar <a href=\"http:\/\/cwe.mitre.org\/top25\/pdf\/2009_cwe_sans_top_25.pdf\">aqu\u00ed<\/a>, se detallan las 25 categor\u00edas de vulnerabilidades, ofreciendo tanto la descripci\u00f3n como un conjunto de medidas para solventarlas y educar a los programadores para que no las cometan. Cuanto antes se conozcan los problemas, menos dolores de cabeza dar\u00e1n luego las vulnerabilidades y como no, el tener que estar sacando parches cada poco tiempo.<\/p>\n<p>Al ser un documento muy educativo y detallado, os pod\u00e9is imaginar su extensi\u00f3n (ronda las 40 p\u00e1ginas). Recomendamos su lectura encarecidamente, pero a\u00fan as\u00ed, os ofrecemos un resumen de los puntos &#8220;ganadores&#8221; que son tratados en el TOP, englobados en 3 categor\u00edas:<\/p>\n<ul>\n<li>Categor\u00eda sobre la interacci\u00f3n insegura entre componentes<\/li>\n<\/ul>\n<div>En esta categor\u00eda encontramos, en otras palabras, los t\u00edpicos errores por una incorrecta validaci\u00f3n de los par\u00e1metros que maneja la aplicaci\u00f3n, y que tanto han dado que hablar, sin ir m\u00e1s lejos, <a href=\"http:\/\/www.securitybydefault.com\/2008\/12\/american-express-y-los-cross-site.html\">en nuestro blog<\/a>. Aqu\u00ed podemos encontrar t\u00e9cnicas de ataque como son inyecciones SQL, Cross-Site Scripting, Cross-Site Request Forgery o la obtenci\u00f3n de informaci\u00f3n mediante los errores que arroja la aplicaci\u00f3n, y que en m\u00faltiples ocasiones, nos ofrecen datos sensibles y muy \u00fatiles para encontrar puntos de entrada.<\/p>\n<p>Como contramedidas, es m\u00e1s que obvio: validar todos y cada uno de los datos de entrada, m\u00e1s preferiblemente bas\u00e1ndonos en listas blancas, no confiar en validaciones en la parte cliente, utilizar procedimientos almacenados para el caso de operaciones a bases de datos, etc.<\/p>\n<\/div>\n<ul>\n<li>Categor\u00eda sobre la gesti\u00f3n incorrecta de los recursos<\/li>\n<\/ul>\n<div>Aqu\u00ed nos encontramos errores que se dan tanto en la creaci\u00f3n y la utilizaci\u00f3n como liberaci\u00f3n de los recursos del sistema. En ella nos encontramos las vulnerabilidades que pueden llegar a ocasionar una denegaci\u00f3n del servicio ofrecido o una ejecuci\u00f3n de c\u00f3digo por desbordamiento de b\u00fafer. Tambi\u00e9n se encuentra lo relacionado con ficheros importantes del sistema que en ning\u00fan caso deben ser accesibles por un usuario cualquiera (Vulnerabilidades de &#8220;Path Traversal&#8221;), as\u00ed como la informaci\u00f3n que deposita la aplicaci\u00f3n remotamente en clientes (ya sea mediante cookies u otro tipo de ficheros de registro).<\/p>\n<p>En este caso, para evitar tales vulnerabilidades, se recomienda siempre gestionar de manera adecuada la memoria que utiliza la aplicaci\u00f3n, inicializar y definir correctamente todas las variables y rebajar al m\u00ednimo los permisos necesarios por el software para que, en caso de ataque, el usuario no obtenga demasiados privilegios en el sistema afectado.<\/p>\n<\/div>\n<ul>\n<li>Categor\u00eda relacionada con t\u00e9cnicas de protecci\u00f3n que suelen ser infravaloradas<\/li>\n<\/ul>\n<p>Los puntos que se engloban en esta categor\u00eda son, entre otros, los controles de acceso no adecuados derivando en un proceso de autorizaci\u00f3n insuficiente en la aplicaci\u00f3n, carencias en los algoritmos de cifrado utilizados y predicci\u00f3n de valores que se supon\u00edan ser aleatorios, as\u00ed como por ejemplo el incluir credenciales v\u00e1lidas en el propio c\u00f3digo fuente (hay veces que un click bot\u00f3n derecho -&gt; Ver C\u00f3digo Fuente nos puede deparar tant\u00edsimas sorpresas&#8230;).<\/p>\n<p>Seg\u00fan se informa en el anuncio, todos los puntos de este TOP se ir\u00e1n actualizando y completando con m\u00e1s informaci\u00f3n, pero no deja de ser un documento muy completo a tener en cuenta y como exigencias a un equipo de desarrollo, ya sea propio o antes de llevar a su contrataci\u00f3n.<\/p>\n<p>[+] <a href=\"http:\/\/www.sans.org\/top25errors\/\">TOP25 en SANS<\/a> y en <a href=\"http:\/\/cwe.mitre.org\/top25\/\">MITRE<\/a><br \/>\n[+] Documento en PDF <a href=\"http:\/\/cwe.mitre.org\/top25\/pdf\/2009_cwe_sans_top_25.pdf\">aqu\u00ed<\/a> y <a href=\"http:\/\/www.sans.org\/top25errors\/print.pdf\">aqu\u00ed<\/a>.<\/p>\n<p>Fuente: Security By Default<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Esta semana se ha celebrado en Washington D.C. una convenci\u00f3n de seguridad que reunir\u00eda a expertos en seguridad inform\u00e1tica de todo el mundo, con el instituto SANS y el MITRE como m\u00e1ximos exponentes, para elaborar un TOP que constatar\u00eda los 25 errores de programaci\u00f3n m\u00e1s peligrosos. En el documento, que pod\u00e9is encontrar aqu\u00ed, se detallan [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-689","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v26.6 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>TalSoft - Seguridad Inform\u00e1tica Empresarial - El TOP25 de los errores de programaci\u00f3n m\u00e1s comunes y con peores consecuencias<\/title>\n<meta name=\"description\" content=\"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Leandro Ferrari\" \/>\n\t<meta name=\"twitter:label2\" content=\"Estimated reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/\"},\"author\":{\"name\":\"Leandro Ferrari\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8\"},\"headline\":\"El TOP25 de los errores de programaci\u00f3n m\u00e1s comunes y con peores consecuencias\",\"datePublished\":\"2010-03-15T11:59:21+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/\"},\"wordCount\":659,\"publisher\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\"},\"articleSection\":[\"Profesional\"],\"inLanguage\":\"en-GB\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/\",\"name\":\"TalSoft - Seguridad Inform\u00e1tica Empresarial - El TOP25 de los errores de programaci\u00f3n m\u00e1s comunes y con peores consecuencias\",\"isPartOf\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#website\"},\"datePublished\":\"2010-03-15T11:59:21+00:00\",\"description\":\"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.\",\"inLanguage\":\"en-GB\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/\"]}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#website\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/\",\"name\":\"TalSoft TS - Services IT Security\",\"description\":\"Talsoft is transforming awareness, control and decision-making power so that companies can protect their critical and confidential information from computer attacks.\",\"publisher\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.talsoft-security.com\/site\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-GB\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\",\"name\":\"Talsoft TS\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-GB\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png\",\"contentUrl\":\"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png\",\"width\":270,\"height\":125,\"caption\":\"Talsoft TS\"},\"image\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"http:\/\/www.facebook.com\/talsoftsrl\",\"https:\/\/x.com\/talsoft\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8\",\"name\":\"Leandro Ferrari\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-GB\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g\",\"caption\":\"Leandro Ferrari\"},\"sameAs\":[\"http:\/\/www.talsoft.com.ar\",\"https:\/\/www.facebook.com\/talsoftsrl\/\",\"https:\/\/x.com\/avatar_leandro\"],\"url\":\"https:\/\/www.talsoft-security.com\/site\/author\/leandro\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"TalSoft - Seguridad Inform\u00e1tica Empresarial - El TOP25 de los errores de programaci\u00f3n m\u00e1s comunes y con peores consecuencias","description":"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/","twitter_misc":{"Written by":"Leandro Ferrari","Estimated reading time":"3 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/#article","isPartOf":{"@id":"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/"},"author":{"name":"Leandro Ferrari","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8"},"headline":"El TOP25 de los errores de programaci\u00f3n m\u00e1s comunes y con peores consecuencias","datePublished":"2010-03-15T11:59:21+00:00","mainEntityOfPage":{"@id":"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/"},"wordCount":659,"publisher":{"@id":"https:\/\/www.talsoft-security.com\/site\/#organization"},"articleSection":["Profesional"],"inLanguage":"en-GB"},{"@type":"WebPage","@id":"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/","url":"https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/","name":"TalSoft - Seguridad Inform\u00e1tica Empresarial - El TOP25 de los errores de programaci\u00f3n m\u00e1s comunes y con peores consecuencias","isPartOf":{"@id":"https:\/\/www.talsoft-security.com\/site\/#website"},"datePublished":"2010-03-15T11:59:21+00:00","description":"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.","inLanguage":"en-GB","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.talsoft-security.com\/site\/el-top25-de-los-errores-de-programacion-mas-comunes-y-con-peores-consecuencias\/"]}]},{"@type":"WebSite","@id":"https:\/\/www.talsoft-security.com\/site\/#website","url":"https:\/\/www.talsoft-security.com\/site\/","name":"TalSoft TS - Services IT Security","description":"Talsoft is transforming awareness, control and decision-making power so that companies can protect their critical and confidential information from computer attacks.","publisher":{"@id":"https:\/\/www.talsoft-security.com\/site\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.talsoft-security.com\/site\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-GB"},{"@type":"Organization","@id":"https:\/\/www.talsoft-security.com\/site\/#organization","name":"Talsoft TS","url":"https:\/\/www.talsoft-security.com\/site\/","logo":{"@type":"ImageObject","inLanguage":"en-GB","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/","url":"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png","contentUrl":"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png","width":270,"height":125,"caption":"Talsoft TS"},"image":{"@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/"},"sameAs":["http:\/\/www.facebook.com\/talsoftsrl","https:\/\/x.com\/talsoft"]},{"@type":"Person","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8","name":"Leandro Ferrari","image":{"@type":"ImageObject","inLanguage":"en-GB","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g","caption":"Leandro Ferrari"},"sameAs":["http:\/\/www.talsoft.com.ar","https:\/\/www.facebook.com\/talsoftsrl\/","https:\/\/x.com\/avatar_leandro"],"url":"https:\/\/www.talsoft-security.com\/site\/author\/leandro\/"}]}},"_links":{"self":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/comments?post=689"}],"version-history":[{"count":1,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/689\/revisions"}],"predecessor-version":[{"id":690,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/689\/revisions\/690"}],"wp:attachment":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/media?parent=689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/categories?post=689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/tags?post=689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}