jueves, 24 de diciembre de 2009

Seguridad web por ley?

Hace unos días se celebraban las conferencias IBWAS'09, las primeras conferencias conjuntas de OWASP Spain y OWASP Portugal. La última de las mesas-coloquio, al parecer (no estuve, por desgracia), trató sobre lo que deberían hacer los gobiernos en el 2010 para mejorar la seguridad en aplicaciones de web. Se emitió este comunicado, del que me gustaría hacerme eco. (Lo cuenta mejor SecurityByDefault en Seguridad en aplicaciones web y gobiernos).
Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
Publicado por en No hay comentarios:
Etiquetas: , ,

jueves, 17 de diciembre de 2009

apuntes de CSRF

Veo hoy un par de blogs que hablan de CSRF, recordemos, una de las categorías de ataques listadas en Owasp Top Ten por lo menos seis años.

En CSRF isn't just for access, mckt nos explica cómo aprovechar un CSRF para realizar ataques de denegación de servicio distribuida, de múltiples maneras. Y en Cross-Site Request Forgery For POST Requests With An XML Body, el problema de ejecutar un CSRF en una petición SOAP o XMLRPC.

Muy claros e instructivos :)
Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
Publicado por en No hay comentarios:
Etiquetas: , ,

jueves, 10 de diciembre de 2009

Mapa de ISOs

El "mapa" de las normas de seguridad a tener en cuenta cambia despacio, pero constantemente. Hace poco me enteraba de que se ha planteado la creación de una ISO sobre cómo presentar al público una vulnerabilidad, la ISO 29147. Por eso, quería tener una recopilación de las normas ISO orientadas a seguridad informática, tanto las que están en curso, como las que se publicarán a corto y medio plazo (un año más o menos). Aquí van las que tengo hasta la fecha:
  • ISO/IEC 15408: Evaluation criteria for IT security (esto es, el Common Criteria)
  • ISO/IEC 27000: Information security management systems - Overview and vocabulary
  • ISO/IEC 27001: Information security management systems - Requirements
  • ISO/IEC 27002: Code of practice for information security management
  • ISO/IEC 27004: Information security management measurements
  • ISO/IEC 27005: Information security risk management (reemplaza a la ISO/IEC 13335)
  • ISO/IEC 27006: International accreditation guidelines for the accreditation of bodies operating certification / Registration of information security management systems
  • ISO/IEC 27007: Guidelines for information security management systems auditing
  • ISO/IEC 27008: Guidance for auditors on ISMS controls
  • ISO/IEC 27010: Information security management for inter-sector communications (for critical infrastructure)
  • ISO/IEC 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  • ISO/IEC 27013: Guidelines for integration implementation of ISO/IEC 20000-1 & ISO/IEC 27001
  • ISO/IEC 27014: Information security governance framework
  • ISO/IEC 27031: ICT readiness for business continuity
  • ISO/IEC 27032: Guidelines for CyberSecurity
  • ISO/IEC 27033: Network security (reemplaza a ISO/IEC 18028)
  • ISO/IEC 27034: Application security
  • ISO/IEC 24760: A framework for identity management
  • ISO/IEC 29100: A privacy framework
  • ISO/IEC 29101: A privacy reference architecture
  • ISO/IEC 29146: A framework for access management
  • ISO/IEC 29147: Responsible vulnerability disclosure
  • ISO/IEC 29149: Best practice on the provision of timestamping
    services
Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
Publicado por en 3 comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)