{"id":253,"date":"2007-09-11T10:54:35","date_gmt":"2007-09-11T13:54:35","guid":{"rendered":"http:\/\/talsoft.com.ar\/weblog\/?p=253"},"modified":"2007-09-11T10:54:35","modified_gmt":"2007-09-11T13:54:35","slug":"guia-nist-sobre-seguridad-de-servicios-web","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/guia-nist-sobre-seguridad-de-servicios-web\/","title":{"rendered":"Gu\u00c3\u00ada NIST sobre seguridad de servicios Web"},"content":{"rendered":"<p>NIST ha publicado recientemente una gu\u00c3\u00ada, con la calidad y completitud a la que nos tiene acostumbrados, sobre <a href=\"http:\/\/csrc.nist.gov\/publications\/nistpubs\/800-95\/SP800-95.pdf\">seguridad en servicios Web<\/a>. Este documento puede ser un excelente complemento a la <a href=\"http:\/\/www.owasp.org\/index.php\/Category:OWASP_Testing_Project\">gu\u00c3\u00ada de testing de OWASP<\/a>, otro documento de referencia para la ejecuci\u00c3\u00b3n de an\u00c3\u00a1lisis de seguridad de servicios Web.<\/p>\n<p>La gu\u00c3\u00ada NIST que os enlazo me gusta m\u00c3\u00a1s a la hora de clasificar los posibles ataques tradicionalmente reconocidos como potenciales fuentes de problemas a la hora de exponer nuestros aplicativos Web a infraestructuras p\u00c3\u00bablicas. Esta clasificaci\u00c3\u00b3n tampoco es perfecta, ya que se echan en falta contenidos m\u00c3\u00a1s espec\u00c3\u00adficos que s\u00c3\u00ad aparecen en la gu\u00c3\u00ada OWASP, con lo que la soluci\u00c3\u00b3n ideal pasar\u00c3\u00ada por combinar las distintas tipolog\u00c3\u00adas que ambas gu\u00c3\u00adas ofrecen. La clasificaci\u00c3\u00b3n de ataques de NIST es la que sigue:<\/p>\n<blockquote><p><strong>A.1 Ataques de reconocimiento (Reconnaissance Attacks)<\/strong><\/p>\n<p>A.1.1 Plantillas de c\u00c3\u00b3digo (Code Templates)<br \/>\nA.1.2 Ataques de navegaci\u00c3\u00b3n contra contenidos no expl\u00c3\u00adcitamente publicados (Forceful Browsing Attack)<br \/>\nA.1.3 Ataques transversales contra directorios (Directory Traversal Attack)<br \/>\nA.1.4 Escaneos WDSL (WSDL Scanning)<br \/>\nA.1.5 Ataques de revelaci\u00c3\u00b3n de registros (Registry Disclosure Attacks)<\/p>\n<p><strong>A.2 Ataques de elevaci\u00c3\u00b3n de privilegios (Privilege Escalation Attacks)<\/strong><\/p>\n<p>A.2.1 Ataques de diccionario (Dictionary Attack)<br \/>\nA.2.2 Ataques de formato de cadenas (Format String Attacks)<br \/>\nA.2.3 Desbordamientos de b\u00c3\u00bafer (Buffer Overflow Exploits)<br \/>\nA.2.4 Ataques basados en condiciones de carrera (Race Conditions)<br \/>\nA.2.5 Ataques basados en enlaces simb\u00c3\u00b3licos (Symlink Attacks)<br \/>\nA.2.6 Explotaci\u00c3\u00b3n de interfaces de administraci\u00c3\u00b3n no protegidos (Exploiting Unprotected Administrator Interfaces)<\/p>\n<p><strong>A.3 Ataques contra la confidencialidad (Attacks on Confidentiality)<\/strong><\/p>\n<p>A.3.1 Captura de tr\u00c3\u00a1fico (Sniffing)<\/p>\n<p><strong>A.4 Ataques contra la integridad (Attacks on Integrity)<\/strong><\/p>\n<p>A.4.1 Adulteraci\u00c3\u00b3n de par\u00c3\u00a1metros (Parameter Tampering)<br \/>\nA.4.2 Envenenamiento de esquemas XML (Schema Poisoning)<br \/>\nA.4.3 Adulteraci\u00c3\u00b3n de mensajes UDDI\/ebXML (Spoofing of UDDI\/ebXML Messages)<br \/>\nA.4.4 Adulteraci\u00c3\u00b3n de sumas de control (Checksum Spoofing)<br \/>\nA.4.5 Otras adulteraciones (Principal Spoofing)<br \/>\nA.4.6 Adulteraci\u00c3\u00b3n de direccionamiento (Routing Detours)<br \/>\nA.4.7 Ataques desde entidades exteriores (External Entity Attack)<br \/>\nA.4.8 Ataques de resoluci\u00c3\u00b3n de nombres (Canonicalization)<br \/>\nA.4.9 Modificaci\u00c3\u00b3n inteligente de par\u00c3\u00a1metros (Intelligent Tampering and Impersonation)<\/p>\n<p><strong>A.5 Ataques de denegaci\u00c3\u00b3n de servicio (Denial of Service Attacks)<\/strong><\/p>\n<p>A.5.1 Ataques de inundaci\u00c3\u00b3n (Flooding Attacks)<br \/>\nA.5.2 Payloading recursivo sobre XML (Recursive Payloads Sent to XML Parsers)<br \/>\nA.5.3 Payloads de elevado tama\u00c3\u00b1o sobre XML (Oversized Payloads Sent to XML Parsers)<br \/>\nA.5.4 Envenenamiento de esquemas (Schema Poisoning)<br \/>\nA.5.5 Explotaci\u00c3\u00b3n de fugas de memoria (Memory Leak Exploitation)<\/p>\n<p><strong>A.6 Inyecci\u00c3\u00b3n de comandos (Command Injection)<\/strong><\/p>\n<p>A.6.1 Inyecci\u00c3\u00b3n SQL (SQL Injection)<br \/>\nA.6.2 Inyecci\u00c3\u00b3n XML (XML Injection)<\/p>\n<p><strong>A.7 Ataques basados en c\u00c3\u00b3digo malicioso (Malicious Code Attacks)<\/strong><\/p>\n<p>A.7.1 Inyecci\u00c3\u00b3n de comandos (Command Injection)<br \/>\nA.7.2 Contenidos malformados (Malformed Content)<br \/>\nA.7.3 Bombas l\u00c3\u00b3gicas y puertas traseras (Logic Bombs, Trapdoors, and Backdoors)<\/p><\/blockquote>\n<p>De todos modos, la clasificaci\u00c3\u00b3n de contenidos es s\u00c3\u00b3lo un anexo. El grueso del documento se centra en ofrecer, tras la pertinente introducci\u00c3\u00b3n, conocimiento sobre:<\/p>\n<p>&#8211; Aspectos elementales de seguridad y su relaci\u00c3\u00b3n con servicios Web.<br \/>\n&#8211; Funciones y tecnolog\u00c3\u00ada de los servicios Web.<br \/>\n&#8211; Portales Web. El factor humano en la cadena de la seguridad.<br \/>\n&#8211; Integraci\u00c3\u00b3n de la seguridad en la prestaci\u00c3\u00b3n de servicios Web.<br \/>\n&#8211; Herramientas de implementaci\u00c3\u00b3n  y tecnolog\u00c3\u00adas Web seguras.<\/p>\n<p>Lo dicho, <a href=\"http:\/\/csrc.nist.gov\/publications\/nistpubs\/800-95\/SP800-95.pdf\">un documento imprescindible<\/a> para aquellos que estamos involucrados en el mundillo de la seguridad de servicios Web.<\/p>\n<p>Fuente: http:\/\/www.sahw.com\/wp\/<\/p>\n","protected":false},"excerpt":{"rendered":"<p>NIST ha publicado recientemente una gu\u00c3\u00ada, con la calidad y completitud a la que nos tiene acostumbrados, sobre seguridad en servicios Web. Este documento puede ser un excelente complemento a la gu\u00c3\u00ada de testing de OWASP, otro documento de referencia para la ejecuci\u00c3\u00b3n de an\u00c3\u00a1lisis de seguridad de servicios Web. La gu\u00c3\u00ada NIST que os [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[3,1],"tags":[],"class_list":["post-253","post","type-post","status-publish","format-standard","hentry","category-articulos","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/253","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=253"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/253\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=253"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=253"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=253"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}