Sección Introducción Transcripciones
IntroducciónHola, me llamo Troy Hunt y bienvenidos a mi curso de Seguridad Web y al Top 10 de OWASP: El Gran Cuadro. En este curso, voy a cubrir un montón de información sobre la seguridad de las aplicaciones web de una manera que espero que todos puedan aprender algo realmente importante sobre la forma en que aseguramos nuestros sitios web. Permítanme comenzar, sin embargo, dándoles un poco de una visión general de por qué estamos hablando de seguridad web, quiénes son el OWASP y el Top 10, y luego cómo voy a estructurar cada módulo para ayudarles a entender el riesgo. Así que vamos a saltar y echar un vistazo a esa parte de por qué la seguridad web es tan importante. Hablemos de por qué la seguridad en la web es tan importante. Y lo que verán aparecer en la pantalla aquí es un amplio rango de diferentes compañías que han sufrido ataques en línea en los últimos años. Ahora lo que realmente quiero conseguir aquí es la amplitud de las organizaciones, y cubre todo, desde las empresas muy pequeñas hasta las grandes multinacionales, y también cubre todas las industrias. La seguridad en la web y, de hecho, los hackers no conocen límites. Sólo con tener una presencia en la web, eres un objetivo, y lo que quiero hacer a lo largo de este curso es ayudarte a entender los principales riesgos que exponen los sitios web a los atacantes. Cada uno de los ataques que ves aquí tiene _____ faltas en su seguridad web de una manera u otra. Y en muchos casos las consecuencias fueron nefastas, hasta el punto de que algunas de estas empresas ya no existen como resultado. Ahora estamos viendo estos ataques en línea desde todo tipo de fuentes diferentes y eso es todo, desde los hacktivistas, que a menudo son sólo niños oportunistas, hasta los criminales de carrera que están en este juego para ganar dinero, pasando por los estados nacionales que tienen enormes recursos a su disposición, por lo que es una gama bastante amplia de atacantes de los que estamos tratando de proteger nuestros activos web en línea. Sigamos adelante y echemos un vistazo a quiénes son OWASP y ese top 10. Claramente, este curso ha sido creado alrededor de los conceptos de los que habla OWASP. OWASP es el Proyecto de Seguridad de Aplicaciones Web Abiertas y hay tres cosas importantes que hay que entender sobre OWASP. Primero que nada, no son ganancias. No están haciendo dinero de nadie. Simplemente están aquí para ayudar a que la web se convierta en un lugar más seguro. En segundo lugar, su tecnología es agnóstica. OWASP no promueve, ni proporciona exclusivamente ninguna guía para ninguna pila tecnológica. Cubren PHP de la misma manera que cubren ASP. NET, tan igualmente como cubren Java. Y eso es importante, porque significa que en un curso como este podemos hablar de conceptos que abarcan todas las pilas de tecnología web. Así que tiene un atractivo muy amplio. Y finalmente, es contribuido desinteresadamente por la comunidad de seguridad. OWASP se basa en aquellos de nosotros que estamos dispuestos a dedicar nuestro tiempo y experiencia para construir recursos como el que vamos a hablar en este curso. Así que echemos un vistazo a eso y esto es de lo que vamos a hablar, los 10 riesgos de seguridad de aplicaciones web más críticos del OWASP. Y en este curso vamos a hablar de la versión 2013, y realmente lo que este documento está aquí para hacer es proporcionar una guía para las personas que entregan aplicaciones web para que entiendan dónde necesitan invertir su enfoque de seguridad. De hecho, el Top 10 de OWASP es un recurso muy frecuentemente referenciado en todo tipo de contextos diferentes donde se discute la seguridad en la web. Por ejemplo, las empresas lo utilizan a menudo como un conjunto de estándares para saber cómo esperan que su personal o sus proveedores aseguren las aplicaciones web. Los desarrolladores a menudo lo utilizan como referencia para cuando están construyendo software. Ciertamente espero que lo usen como referencia y, de hecho, cuando eso no sucede y se pierden los conceptos en conjunto, es cuando obtenemos los logotipos en esa diapositiva anterior. Y en tercer lugar, los profesionales de la seguridad utilizan regularmente el top 10 de OWASP como punto de referencia cuando están evaluando aplicaciones, y todo esto cierra el círculo, porque muy frecuentemente los hallazgos en los escaneos de seguridad se vinculan directamente con este top 10 porque es un estándar de facto para la seguridad de las aplicaciones web. Sigamos adelante y echemos un vistazo a cómo voy a impartir este curso y explicar cada uno de esos top 10. Cada uno de los 10 módulos que se alinean con el top 10 de OWASP va a contener cuatro mensajes clave diferentes que quiero dejarles, y el primero va a ser un resumen del riesgo. Así que aquí voy a compartir una categorización de la gravedad del riesgo y compartir una visión general de alto nivel de cómo se ejecuta. Luego seguiremos adelante y echaremos un vistazo a «Entendiendo el riesgo» con más detalle y pasaremos a un escenario de ataque de muestra. Así que la idea aquí es compartir con usted un proceso paso a paso sobre cómo un atacante podría explotar este riesgo particular en una aplicación web vulnerable. Ahora, por supuesto, lo realmente importante es entender las defensas, y lo que haré aquí es delinear tres áreas clave para cada riesgo que asegurará la aplicación. Ahora bien, esto es importante, las tres áreas clave, en que
