Las 10 mejores API de la serie OWASP de Coders Conquer Security: funciones de seguridad deshabilitadas/funciones de depuración habilitadas/permisos incorrectos
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Si bien la mayoría de las vulnerabilidades de esta lista son bastante específicas de las API, el problema de las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o los permisos incorrectos puede ocurrir en cualquier parte. Es probable que sea un poco más frecuente en las API, pero los atacantes suelen intentar encontrar fallos sin parches y archivos o directorios desprotegidos en cualquier parte de la red. Encontrarse con una API que tiene habilitada la depuración o las funciones de seguridad deshabilitadas solo facilita un poco su nefasta labor. Y lo que es peor, existen herramientas automatizadas para detectar y aprovechar los errores de configuración de seguridad, por lo que si las tienes en tu entorno, es muy probable que se aprovechen de ellas, por lo que esta vulnerabilidad ha sido incluida en la lista de fallos peligrosos de las API de OWASP.
Antes de empezar a divertirnos, comprueba si puedes resolver este desafío de depuración:
¿Cómo se colan en una API las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o la falla de permisos incorrectos?
Para ver cómo esta falla de API multidimensional se agrega a las redes, debemos dividirla en sus componentes. Empecemos por el problema de las funciones de depuración habilitadas. La depuración es una herramienta útil que ayuda a los desarrolladores a descubrir por qué las aplicaciones no funcionan correctamente o cometen errores. Con la depuración habilitada, los errores y las excepciones generan páginas de error detalladas para que los desarrolladores puedan ver qué ha fallado y solucionar los problemas. Está perfectamente bien tenerla activa mientras una aplicación aún está en desarrollo.
Sin embargo, hay una razón por la que la mayoría de los marcos vienen con advertencias sobre la ejecución del modo de depuración en un entorno de producción, probablemente justo en el código donde está activada la depuración. Por ejemplo:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Verdadero
En este ejemplo, se ha activado la depuración. La aplicación Django generará páginas de error detalladas cuando se produzca una excepción. Si esto se hace en un entorno de producción, un adversario tendría acceso a estas páginas de error, que incluyen información de metadatos sobre el entorno. Si bien la mayoría de los marcos tienen la depuración desactivada de forma predeterminada, es fácil olvidar volver a desactivarla si se activa durante un largo proceso de desarrollo. Luego, cuando la aplicación se traslada a un entorno de producción, proporciona a los atacantes mucha información sobre cómo poner en peligro una aplicación, o incluso un servidor o una red completos.
Si bien la activación del modo de depuración es principalmente un problema independiente, las vulnerabilidades de los permisos incorrectos y las funciones de seguridad deshabilitadas suelen funcionar juntas. Por ejemplo, en un escenario real ofrecido por OWASP, un atacante utilizó un motor de búsqueda para encontrar una base de datos que se conectó accidentalmente a Internet. Como el popular sistema de administración de bases de datos utilizaba su configuración predeterminada, la autenticación estaba deshabilitada. Por lo tanto, al combinar los permisos incorrectos con las vulnerabilidades de las funciones de seguridad inhabilitadas, el atacante obtuvo acceso a millones de registros con información de identificación personal, preferencias personales y datos de autenticación.
Eliminar las funciones de seguridad deshabilitadas, las funciones de depuración habilitadas o las vulnerabilidades de permisos incorrectos
Probablemente necesite adoptar un enfoque doble para eliminar esta vulnerabilidad. Para eliminar la parte del problema que tiene habilitada la depuración, basta con añadir una comprobación al proceso de desarrollo para garantizar que la depuración esté inhabilitada antes de trasladar una API o una aplicación al entorno de producción. Según nuestro ejemplo, el comando adecuado para hacerlo sería el siguiente:
# ADVERTENCIA DE SEGURIDAD: ¡no ejecute con la depuración activada en producción!
DEBUG = Falso
Ahora las funciones de depuración de la aplicación Django están deshabilitadas con el indicador DEBUG configurado en False. No se generará ninguna página de error en respuesta a los errores. Si un adversario sigue accediendo a las páginas de error, no contendrán ningún metadato útil y no supondrán un riesgo para la aplicación.
Eliminar las funciones de seguridad deshabilitadas y las vulnerabilidades de permisos inadecuados es un poco más difícil porque pueden abarcar una amplia gama de vulnerabilidades específicas. La mejor manera de detenerlas es desarrollar un proceso estándar y repetible que permita el despliegue rápido y sencillo de los activos bloqueados en el entorno de producción.
Aun así, debe crear un proceso en el que los archivos de orquestación, los componentes de la API y los servicios en la nube, como los permisos de los buckets de Amazon S3, se revisen y actualicen constantemente. Esta revisión también debería evaluar la eficacia general de la configuración de seguridad en todo el entorno a lo largo del tiempo, a fin de garantizar que la organización mejora constantemente la seguridad de sus API.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demo de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
