OWASP TOP 10 – Vulnerabilidades Web más Importantes

Hoy os presento OWASP, el proyecto abierto de seguridad en aplicaciones Web. Una fundación sin ánimo de lucro dedicada a ayudar a las organizaciones con documentación, herramientas, vídeos, foros, etc.

Según explican ellos:

La fundación OWASP es una entidad sin fines de lucro para asegurar el éxito a largo plazo del proyecto. No está afiliada a ninguna compañía tecnológica, lo que les permite proveer información sobre seguridad en aplicaciones sin sesgos, práctica y efectiva.

Casi todos los asociados con OWASP son voluntarios, incluyendo la junta directiva de OWASP, líderes de capítulos, líderes y miembros de proyectos.

Apoyan la investigación innovadora sobre seguridad a través de becas e infraestructura.

Su proyecto más importante y en el que nos centraremos en este artículo es OWASP TOP 10, un informe que se actualiza cada 3 o 4 años con las 10 vulnerabilidades más importantes, es decir, con más riesgo. Desde la fundación recomiendan que todas las empresas incorporen ese informe en sus procesos para minimizar los riesgos de seguridad.

El último informe publicado es de 2021, aunque es posible que lo actualicen pronto. Lo puedes obtener aquí: OWASP Top 10:2021.

En el informe se pueden ver los cambios con respecto a la versión anterior. Y ver las subidas y bajadas de importancia de las vulnerabilidades más utilizadas.

En el informe de 2021 hay tres nuevas categorías con respecto al anterior (2017) y algunos cambios de nombre y alcance. Estos cambios son debidos a que se han centrado en la causa principal de la vulnerabilidad o riesgo en lugar del síntoma.

Nuevas categorías

A04:2021-Insecure Designe

El diseño inseguro es una categoría nueva enfocada en vulnerabilidades causadas por un mal diseño de la aplicación. Esta vulnerabilidad debe diferenciarse de otras, ya que puede haber un buen diseño con una implementación deficiente que cause diferentes vulnerabilidades.

Por ejemplo, las preguntas de seguridad para recuperar una contraseña (ciudad de nacimiento, nombre de la primera mascota, etc.) no aseguran suficientemente la identidad del usuario. Sin embargo, una vulnerabilidad que permite cambiar el correo de recuperación de una contraseña es un problema de implementación, no de diseño. Las CWE destacadas son CWE-522 (credenciales insuficientemente protegidas) y CWE-266 (incorrecta asignación de permisos).

A10:2021-Server Side Request Forgery (SSRF)

La falsificación de solicitudes del lado del servidor (SSRF) fue la categoría más votada en la encuesta a la comunidad. Similar a cómo el XSS tuvo su propia categoría, ahora el SSRF tiene la suya. Esta vulnerabilidad permite que el servidor haga una solicitud HTTP a un dominio o IP especificada por un atacante.

Esto puede permitir acceso a servicios internos, robo de datos sensibles, escalamiento de privilegios y ejecución remota de código. Esta categoría está descrita en la CWE-918 (Server-Side Request Forgery – SSRF).

Número 1 de la lista

A01:2021-Broken Access Control

La pérdida de control de acceso ha pasado de la quinta (5ª) posición a la primera (1ª) en el ranking debido a que es una de las categorías con mayor incidencia en las aplicaciones testeadas, con un 3,81%, y puede causar un impacto significativo.

Esta categoría se enfoca en garantizar que los usuarios no puedan realizar acciones fuera de sus funciones permitidas. Entre las CWE destacadas se encuentra la CWE-200, que aborda la exposición de información sensible a actores no autorizados.

Más información

Puedes obtener más información en su web owasp.org, donde explican cada una de las vulnerabilidades analizadas. Además podrás obtener más información sobre cómo se clasifican y los motivos de la organización en categorías, así como conocer el listado de fuentes de datos utilizados.

Material You (Material Design 3) – Tu mejor aliado en el diseño

Hace unos años, Google se propuso crear un sistema de diseño integral y en 2021 lazó  «Material You» (junto con Android 12), y desde ese lanzamiento ha evolucionado hasta el Material Design 3 que tenemos en la actualidad. Este enfoque de diseño busca revolucionar la personalización y estética de los dispositivos, llevando la experiencia del usuario a un nuevo nivel.

«Material You» no solo está disponible en dispositivos Google Pixel, sino también para muchos dispositivos Android, incluyendo tabletas, relojes inteligentes y más. Esto permite a los usuarios disfrutar de una experiencia coherente y personalizada en todos sus dispositivos.

¿Qué es?

Material Design es un sistema de diseño integral dirigido a diseñadores UX y UI, proporcionando un marco estandarizado que combina principios visuales y funcionales. Esta guía de estilos ayuda a crear interfaces de usuario coherentes y atractivas en diversas plataformas y dispositivos. Su objetivo es combinar los principios clásicos del buen diseño con la innovación tecnológica.

Material You introduce un enfoque más simplificado y minimalista, caracterizado por menos sombras, menos estilos de letra, formas más redondeadas y una estética más limpia.

Información y uso

En su web m3.material.io puedes obtener gran cantidad de recursos y componentes que te ayudarán en tus proyectos. Ellos lo describen de la siguiente forma:

Material Design es un sistema adaptable de directrices, componentes y herramientas que respaldan las mejores prácticas de diseño de interfaces de usuario. Respaldado por código abierto, Material Design agiliza la colaboración entre diseñadores y desarrolladores, y ayuda a los equipos a crear rápidamente productos atractivos.

 

¿Estás preparado para utilizarlo en tus proyectos?

Puedes aprender a utilizarlo y mejorar tus habilidades como desarrollador en los cursos gratuitos que ofrece google.

¡Descubre Scanum.io: La Solución Definitiva para el Análisis y la Visualización de Datos!

En la era digital, la capacidad de analizar y visualizar datos de manera eficiente es crucial para el éxito de cualquier negocio. Aquí es donde entra en juego Scanum.io, una plataforma innovadora diseñada para transformar la forma en que manejamos la información.

¿Qué es Scanum.io?

Scanum.io es una poderosa herramienta que permite a las empresas y a los profesionales convertir datos complejos en información valiosa y visualmente atractiva. Su interfaz intuitiva y sus potentes funcionalidades hacen que el análisis de datos sea más accesible y efectivo que nunca.

Características Principales

  • Análisis de Datos Avanzado: Con Scanum.io, puedes realizar análisis profundos y detallados de tus datos en cuestión de minutos. La plataforma soporta una amplia variedad de fuentes de datos y ofrece herramientas de análisis robustas que facilitan la toma de decisiones informadas.
  • Visualización Interactiva: Transforma tus datos en gráficos interactivos y personalizables. Scanum.io ofrece una amplia gama de opciones de visualización, desde gráficos de barras y líneas hasta mapas geográficos y diagramas de dispersión.
  • Integración Sencilla: Integrar tus datos con Scanum.io es fácil y rápido. La plataforma se conecta sin problemas con tus sistemas existentes, permitiendo una importación y sincronización de datos sin complicaciones.
  • Seguridad y Privacidad: La seguridad de tus datos es una prioridad. Scanum.io implementa las mejores prácticas en ciberseguridad para garantizar que tu información esté siempre protegida.
  • Colaboración en Tiempo Real: Facilita la colaboración entre equipos con funciones de compartición de datos y visualizaciones en tiempo real. Trabaja junto a tus colegas en proyectos y presentaciones sin importar dónde te encuentres.

Algunos ejemplos de lo que puede hacer:

Scanum.io no es solo una herramienta, es tu aliado estratégico en la gestión y visualización de datos. Con su enfoque en la simplicidad, seguridad y colaboración, Scanum.io está revolucionando la forma en que las empresas manejan su información.

¡Visita Scanum.io hoy mismo y lleva tu análisis de datos al siguiente nivel!

Ahmia: Navegando en el Mundo de la Deep Web

Internet se podría definir como un océano de información, y mientras que la mayoría de nosotros navegamos en la superficie, existe una parte mucho más grande y menos accesible llamada «deep web.» El problema es  que los recursos que no están indexados en los buscadores convencionales como Google. Y por eso hoy os traigo Ahmia, una herramienta que se especializa en buscar en esa «deep web».

¿Qué es Ahmia?

Ahmia es un motor de búsqueda diseñado específicamente para indexar y mostrar resultados de la deep web, especialmente aquellos que residen en la red Tor. Tor, abreviatura de «The Onion Router,» es un proyecto que permite a los usuarios navegar por la web de forma anónima y acceder a sitios web .onion, que no están disponibles a través de navegadores web convencionales.

¿Cómo Usar Ahmia?

Usar Ahmia es sencillo y similar a cualquier otro motor de búsqueda:

  1. Acceso a Ahmia: Es recomendable usar un navegador compatible con la red Tor, de esta forma se garantiza el anonimato.
  2. Buscar Información: Sirve para encontrar resultados resultados relevantes de sitios .onion y otros recursos de la deep web.
  3. Navegación Segura: Ayuda a filtrar contenido inapropiado, aunque es importante ser consciente de los riesgos.

Puedes crear una interfaz gráfica sin una línea de código

Seguro que siempre has querido crear tu propia web o app, pero estás empezando a programar y crees que es una tarea muy compleja. Hoy os voy a demostrar una forma muy sencilla para hacerlo.

Primero tienes que ir a Figma. Se trata de una herramienta de diseño basada en la nube que permite a los usuarios crear interfaces de usuario, diseñar prototipos interactivos y colaborar en tiempo real.

Desde ahí podrás arrastrar y soltar elementos. Los vas colocando como quieras y creas la interfaz. Además puedes editar el nombre de los elementos para que después sea más sencillo su uso.

Después te descargas esta librería de Python: tkdesigner 1.0.7. Vas al terminal y escribes pip install tkdesigner.

Una vez lo tenemos instalado debemos volver a Figma y obtener un token personal. Puedes obtenerlo yendo a «ajustes de la cuenta > personal access tokens», creas uno y copias el código para utilizarlo después.

También en Figma, vas al proyecto que has hecho, le das a compartir (share) y copias el link que te da la aplicación.

Ahora en el terminal escribes tkdesigner [enlace-copiado] [token-copiado]. Pulsas «enter» y empezará a generar el código. Después podrás verlo en ejecución con el siguiente comando python .\build\guy.py.

A partir de aquí ya puedes programar las acciones y demás tareas que quieras realizar.

¿Quieres ser programador y no sabes por dónde empezar?

¿Quieres ser programador y no sabes por dónde empezar? Hoy os traigo una guía donde podrás escoger el leguaje que quieres aprender o la categoría.

La web se llama roadmap.sh, puedes entrar aquí: https://roadmap.sh/. Esta plataforma proporciona rutas de aprendizaje detalladas y visuales, diseñadas para ayudarte a aprender de manera estructurada y eficiente.

Cada ruta está cuidadosamente organizada para proporcionar un enfoque paso a paso, asegurando que los estudiantes adquieran las habilidades necesarias en el orden más lógico y efectivo.

Además de ser una guía gratuita sobre los pasos a dar en el proceso de aprendizaje, tendrás guías para tópicos de la programación y vídeos explicatorios.

¿No te Han Pagado? Os traigo una Solución

¿Eres desarrollador y un cliente no te ha pagado por tu trabajo?

Os traigo un script que va bajando la opacidad de la web cada día hasta que desaparece del  todo. Puedes escoger el número de días que tardará en desaparecer del todo. Su uso es muy sencillo, ya que solo basta con incluir el JS en el «Head» del sitio.

También se han desarrollado funcionalidades similares para otros entornos y herramientas:

  • Plugin para WordPress.
  • Versión para Android.
  • Versión para Windows Forms.
  • Versión Flutter.
  • Versión iOS (SwiftUI).
  • Versión Angular.

Enlace: https://github.com/kleampa/not-paid

Aprendiendo LINUX como si Fuera un Juego

Si eres programador, seguro que alguna vez te has topado con la necesidad de usar linux para dar vida a tus proyectos. Hoy os traigo unas web que te ayudarán a conocer o mejorar en el uso de estos sistemas para que seas más eficiente en tus desarrollos.

VIM Adventures

Aprende con acertijos.

Enlace: https://vim-adventures.com/

Bandit

Para empezar desde 0 e ir avanzando nivel a nivel hasta convertirse en un experto.

Enlace: https://overthewire.org/wargames/bandit/

Terminus

Creado por MIT es un juego interactivo para ayudarte con el aprendizaje en el uso de un Terminal

Enlace: https://web.mit.edu/mprat/Public/web/Terminus/Web/main.html

Linux Survival

Se plantea en forma de retos que te enseñarán todo lo que necesitas saber de la forma más sencilla posible.

Enlace: https://linuxsurvival.com/

The Command Line Murders

¿Te gustan los misterios? Utiliza comandos para resolver este.

Enlace: https://github.com/veltman/clmystery

Recursos Útiles para Desarrolladores GRATIS

Si eres programador y te gusta desarrollar proyectos en tus ratos libres seguro que en ocasiones te ha ralentizado tener que montarte ciertos entornos o has tenido que pagar ciertos servicios. Hoy te traigo alguns recursos gratuitos que te pueden ayudar a montar la primera versión del proyecto o incluso el proyecto completo.

  • Hosting en Netlify: despliega tu sitio de forma rápida y segura. Si necesitas alojar tu sitio web de forma sencilla, esta es una excelente opción. Ofrece hosting para proyectos estáticos con funciones avanzadas como despliegue continuo, SSL, etc.
  • Plantillas HTML en HTMLRev: ahorra tiempo en el diseño de tu web con plantillas gratuitas. Las plantillas son modernas, responsivas y están listas para elegir la que te guste y adaptarla a tus necesidades.
  • Inspírate en UI Garage para crear interfaces increíbles. En esta web podrás buscar ideas para el diseño de la interfaz de usuario. Sirve para inspirarte con otros diseños y tendencias para que tus usuarios tengan la mejor experiencia
  • Anima tu sitio con efectos de Animista. Se define como una librería de animación CSS bajo demanda. Utiliza este sitio par animar tus proyectos y ofrecer un diseño más atractivo a tus usuarios.
  • Iconos impactantes en LineIcons. En todos los proyectos se utilizan iconos para personalizar ciertas partes y estos son unos elementos clave en el diseño. Esta web te ofrece una extensa colección de iconos vectoriales de alta calidad.
  • Fotos de alta calidad en Unsplash. Utiliza en tus proyectos imágenes de alta calidad y sin preocuparte por los derechos de autor.

¡Descubre la magia de viajar en tren con Chronotrains!

Esta publicación puede parecer publicidad y se aleja un poco de la temática del blog, pero os vengo a hablar de una web que me ha parecido muy útil si eres una de esas personas apasionadas por recorrer el mundo. Ahora que llega el verano os puede resultar muy útil a la hora de organizar mejor vuestras vacaciones.

¿Qué es Chronotrains?

Chronotrains es una increíble herramienta que te muestra hasta dónde puedes llegar en tren en un tiempo determinado desde cualquier ciudad europea. ¡Perfecto para planificar tu próxima aventura!

¿Cómo funciona?

Simplemente elige tu punto de partida y el tiempo que quieres viajar, y Chronotrains te mostrará todas las ciudades y destinos que puedes alcanzar. ¡Es como una máquina del tiempo para tus viajes en tren!

Su uso es sencillo, una vez accedes a la web

  1. Selección del Punto de Partida
    1. Campo de búsqueda: En la barra de búsqueda, escribe el nombre de la ciudad desde la que planeas iniciar tu viaje.
    2. Mapa interactivo: También puedes hacer clic directamente en el mapa para seleccionar tu ciudad de partida.
  2. Establecer el Tiempo de Viaje
    1. Deslizador de tiempo: Usa el deslizador o las opciones predefinidas para seleccionar el tiempo máximo que quieres viajar (por ejemplo, 1 hora, 2 horas, etc.).
    2. Ver resultados: Una vez seleccionado el tiempo, Chronotrains te mostrará todas las ciudades y destinos que puedes alcanzar dentro de ese tiempo desde tu punto de partida

Puedes crear un itinerario seleccionando múltiples destinos. Chronotrains te ayudará a planificar las mejores rutas y conexiones. Guarda tus planes de viaje y compártelos con amigos o familiares. Puedes imprimir tu itinerario o guardarlo en formato digita

¿Por qué te encantará?

  • Sostenible: Viajar en tren es una de las formas más ecológicas de moverse.
  • Comodidad: Disfruta de vistas panorámicas y espacio para relajarte.
  • Flexibilidad: Explora múltiples destinos en un solo viaje.

No pierdas la oportunidad de vivir una aventura inolvidable. Visita www.chronotrains.com y empieza a planear tu próximo viaje hoy mismo.

No olvides compartir tus fotos y experiencias usando el hashtag #ChronotrainsJourney y etiquétame para que pueda ver tus increíbles aventuras. ¡Los mejores momentos serán compartidos en mis historias!