Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre seguridad informática para el personal de la Universidad de Granada

  • Inicio
  • Normativa ciberseguridad en UGR
  • Buenas prácticas
  • Píldoras formativas
  • Manuales y Guías Seguridad
  • Noticias/Alertas
  • Enlaces de interés
    • CSIRC – Seguridad
    • Centro Criptologico Nacional
    • Instituto Nacional de Ciberseguridad
    • Oficina de Seguridad del Internauta
    • Agencia española de protección de datos
    • Grupo de delitos telemáticos Guardia Civil
    • Brigada Investigación Tecnológica
Inicio >> Buenas Prácticas >> Consejos seguridad para evitar vulnerabilidades habituales – Desarrollo/servicios WEB

Consejos seguridad para evitar vulnerabilidades habituales – Desarrollo/servicios WEB

16 octubre, 2018 por A. Muñoz

 

 

 

 

Hoy os dejo una serie de consejos a tener en cuenta en el desarrollo y en servicios web en general para evitar las vulnerabilidades mas habituales. Es un poco mas técnico que las publicaciones anteriores. Espero que sea de utilidad.

  • Asegurar que en la generación de cookies se activan las opciones HttpOnly y secure.

CVE-2012-0053

www.owasp.org/index.php/HttpOnly

https://www.owasp.org/index.php/SecureFlag

  • Devolver con el contenido de la página las opciones X-Frame en la cabecera HTTP. Esto previene que el contenido de la página sea mostrado por otro sitio utilizando las etiquetas HTML frame o iframe.

La mayoría de los navegadores modernos soportan las opciones X-Frame en la cabecera. Se debe asegurar que estén establecidas en todas las páginas que devuelva el sitio (si se espera que la página se enmarque desde páginas del mismo servidor se puede utilizar la opción SAMEORIGIN, o si nunca debe ser enmarcada desde ninguna página debería utilizarse DENY. La opción ALLOW-FROM permite especificar que sitios pueden poner la página en un frame)

CWE:693

https://es.wikipedia.org/wiki/Clickjacking

http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

  • Asegurarse de que el filtro XSS del navegador está activado, configurando la opción X-XSS-Protection a 1. Esta opción esta soportada actualmente en los navegadores Internet Explorer, Chrome y Safari.

https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/

  • Utilizar explícitamente TLS y quitar el soporte de SSL v2 o v3

https://wiki.mozilla.org/Security/Server_Side_TLS

http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_3.0

http://en.wikipedia.org/wiki/HTTP_Secure

http://support.microsoft.com/kb/187498

  • Especificar un conjunto de caracteres bien definido, como UTF-8, en la cabecera o el cuerpo de la respuesta.

https://www.owasp.org/index.php/OWASP_Top_Ten_Cheat_Sheet

 

Archivado en: Buenas Prácticas, Consejos Etiquetado como: consejos, lineas de defensa, proteccion, seguridad

Subscripción blog Seguridad Informática UGR

Danos tu correo electrónico y te enviaremos las actualizaciones de este blog. Este servicio lo hacemos a través de Google. Puedes ver la política de privacidad de Google en https://policies.google.com/terms?gl=US&hl=es .

Entradas recientes

  • Ataques a las contraseñas 5 diciembre, 2019
  • Compra segura online – Black Friday – Consejos de GDT 28 noviembre, 2019
  • Nueva guía sobre cookies publicada por la Agencia Española de Protección de Datos 12 noviembre, 2019
  • Recomendaciones del CCN para defenderse del cryptojacking. 28 octubre, 2019
  • El CCN explica cómo hacer un uso seguro de la tecnología 10 octubre, 2019

Categorías

Etiquetas

AEPD alertas Android antivirus BYOD CCN cibercrimen cifrado consejos contacto ENS fake guias ccn hacktivismo incidencias informe lineas de defensa LOPD malware Moviles Normativa noticias nube OSI Phising proteccion Proteccion de datos Puesto de trabajo Roles seguridad Utilidades vpn WEB

Meta

  • Acceder
  • Feed de entradas
  • Feed de comentarios
  • WordPress.org
Universidad de Granada
blogsUgr
C.S.I.R.C. · Nodo de Fuentenueva
Iniciar Sesión
wpDiscuz
Este sitio usa cookies: Más Información.