A04:2021 – Diseño Inseguro Flashcards
En que se centra la vulnerabilidad de diseño inseguro?
Se centra en los riesgos relacionados con el diseño y las fallas arquitectónicas, exhortando a un mayor uso de: modelado de amenazas, patrones de diseño seguros y arquitecturas de referencia.
Cuales son las CWE mas notables incluidas en la vulnerabilidad del diseño inseguro?
- CWE-209: Generación de mensaje de error que contiene información confidencial
- CWE-256: Almacenamiento desprotegido de credenciales
- CWE-501: Violación de las fronteras de confianza
- CWE-522: Credenciales protegidas insuficientemente.
Como se expresan las debilidades del diseño inseguro?
“Diseño de control faltante o ineficaz”.
Los diseños inseguros se pueden arreglar con una implementacion perfecta?
Un diseño inseguro no se puede arreglar con una implementación perfecta, ya que, por definición, los controles de seguridad necesarios nunca se crearon para defenderse de ataques específicos.
Cual es uno de los factores que contribuyen al diseño inseguro?
La falta de perfiles de riesgo empresarial inherentes al software o sistema que se está desarrollando y, por lo tanto, la falta de determinación del nivel de diseño de seguridad que se requiere.
Diga una de las formas iniciales de prevenir el diseño inseguro?
Gestión de requerimientos y recursos: Recopilar y negociar los requerimientos para la aplicación con el negocio, incluidos los requisitos de protección relacionados con la confidencialidad, integridad, disponibilidad y autenticidad de todos los activos de datos y la lógica de negocio esperada.
Que es el diseño seguro?
El diseño seguro es una cultura y metodología que evalúa constantemente las amenazas y garantiza que el código esté diseñado y probado de manera sólida para prevenir métodos de ataque conocidos.
Que es el S-SDLC (tema diseño inseguro)
Es el Ciclo de Desarrollo Seguro, y se refiere a que el software seguro requiere un ciclo de desarrollo seguro, alguna forma de patrón de diseño seguro, metodologías de carretera pavimentada (“paved road”), bibliotecas de componentes seguros, herramientas y modelado de amenazas
Como se previene el diseño de software inseguro?
- Establecer y usar un ciclo de desarrollo seguro apoyado en Profesionales en Seguridad de Aplicaciones para ayudarlo a evaluar y diseñar la seguridad y controles relacionados con la privacidad.
- Establezca y utilice un catálogo de patrones de diseño seguros o componentes de “camino pavimentado” listos para ser utilizados.
- Utilice el modelado de amenazas para flujos críticos de autenticación, control de acceso, lógica de negocio y todo clave.
- Integre el lenguaje y los controles de seguridad en las historias de usuario.
- Integre verificaciones de viabilidad en cada capa de su aplicación (desde el frontend al backend).
- Escriba pruebas unitarias y de integración para validar que todos los flujos críticos son resistentes al modelo de amenazas. Recopile casos de uso y casos de mal uso para cada capa de la aplicación.
- Separe las capas del sistema y las capas de red según las necesidades de exposición y protección.
- Separe a los tenants de manera robusta por diseño en todos los niveles.
- Limitar el consumo de recursos por usuario o servicio.
Diga de que vulnerabilidad es el siguiente caso: Un flujo de trabajo de recuperación de credenciales puede incluir “preguntas y respuestas”, lo cual está prohibido por NIST 800-63b, OWASP ASVS y OWASP Top 10. No se puede confiar en preguntas y respuestas como evidencia de identidad ya que más de una persona puede conocer las respuestas. Dicho código debe eliminarse y reemplazarse por un diseño más seguro.
Diseño inseguro.
Diga de que vulnerabilidad es el siguiente caso: Una cadena de cines permite descuentos en la reserva de grupos y tiene un máximo de quince asistentes antes de solicitar un depósito. Los atacantes podrían modelar este flujo y probar si podían reservar seiscientos asientos en todos los cines a la vez utilizando unas pocos pedidos, lo que provocaría grandes pérdidas de ingresos.
Diseño inseguro.
Diga de que vulnerabilidad es el siguiente caso: El sitio web de comercio electrónico de una cadena minorista no tiene protección contra bots administrados por revendedores que compran tarjetas de video de alta gama para revender sitios web de subastas. Esto crea una publicidad terrible para los fabricantes de tarjetas de video y los propietarios de cadenas minoristas y una mala sangre duradera con entusiastas que no pueden obtener estas tarjetas a ningún precio. El diseño cuidadoso de anti automatización y las reglas de lógica de negocio, como compras realizadas a los pocos segundos de disponibilidad, pueden identificar compras no auténticas y rechazar dichas transacciones.
Diseño inseguro.
Cual es el top de la vulnerabilidad de “Diseño inseguro”?
4
