Las 10 mejores API de la serie OWASP de Coders Conquer Security: funciones de seguridad deshabilitadas/funciones de depuración habilitadas/permisos incorrectos
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.