Guía NIST sobre seguridad de servicios Web

Buenas,

NIST ha publicado recientemente una guía, con la calidad y completitud a la que nos tiene acostumbrados, sobre seguridad en servicios Web. Este documento puede ser un excelente complemento a la guía de testing de OWASP, otro documento de referencia para la ejecución de análisis de seguridad de servicios Web.

La guía NIST que os enlazo me gusta más a la hora de clasificar los posibles ataques tradicionalmente reconocidos como potenciales fuentes de problemas a la hora de exponer nuestros aplicativos Web a infraestructuras públicas. Esta clasificación tampoco es perfecta, ya que se echan en falta contenidos más específicos que sí aparecen en la guía OWASP, con lo que la solución ideal pasaría por combinar las distintas tipologías que ambas guías ofrecen. La clasificación de ataques de NIST es la que sigue:

A.1 Ataques de reconocimiento (Reconnaissance Attacks)

A.1.1 Plantillas de código (Code Templates)
A.1.2 Ataques de navegación contra contenidos no explícitamente publicados (Forceful Browsing Attack)
A.1.3 Ataques transversales contra directorios (Directory Traversal Attack)
A.1.4 Escaneos WDSL (WSDL Scanning)
A.1.5 Ataques de revelación de registros (Registry Disclosure Attacks)

A.2 Ataques de elevación de privilegios (Privilege Escalation Attacks)

A.2.1 Ataques de diccionario (Dictionary Attack)
A.2.2 Ataques de formato de cadenas (Format String Attacks)
A.2.3 Desbordamientos de búfer (Buffer Overflow Exploits)
A.2.4 Ataques basados en condiciones de carrera (Race Conditions)
A.2.5 Ataques basados en enlaces simbólicos (Symlink Attacks)
A.2.6 Explotación de interfaces de administración no protegidos (Exploiting Unprotected Administrator Interfaces)

A.3 Ataques contra la confidencialidad (Attacks on Confidentiality)

A.3.1 Captura de tráfico (Sniffing)

A.4 Ataques contra la integridad (Attacks on Integrity)

A.4.1 Adulteración de parámetros (Parameter Tampering)
A.4.2 Envenenamiento de esquemas XML (Schema Poisoning)
A.4.3 Adulteración de mensajes UDDI/ebXML (Spoofing of UDDI/ebXML Messages)
A.4.4 Adulteración de sumas de control (Checksum Spoofing)
A.4.5 Otras adulteraciones (Principal Spoofing)
A.4.6 Adulteración de direccionamiento (Routing Detours)
A.4.7 Ataques desde entidades exteriores (External Entity Attack)
A.4.8 Ataques de resolución de nombres (Canonicalization)
A.4.9 Modificación inteligente de parámetros (Intelligent Tampering and Impersonation)

A.5 Ataques de denegación de servicio (Denial of Service Attacks)

A.5.1 Ataques de inundación (Flooding Attacks)
A.5.2 Payloading recursivo sobre XML (Recursive Payloads Sent to XML Parsers)
A.5.3 Payloads de elevado tamaño sobre XML (Oversized Payloads Sent to XML Parsers)
A.5.4 Envenenamiento de esquemas (Schema Poisoning)
A.5.5 Explotación de fugas de memoria (Memory Leak Exploitation)

A.6 Inyección de comandos (Command Injection)

A.6.1 Inyección SQL (SQL Injection)
A.6.2 Inyección XML (XML Injection)

A.7 Ataques basados en código malicioso (Malicious Code Attacks)

A.7.1 Inyección de comandos (Command Injection)
A.7.2 Contenidos malformados (Malformed Content)
A.7.3 Bombas lógicas y puertas traseras (Logic Bombs, Trapdoors, and Backdoors)

De todos modos, la clasificación de contenidos es sólo un anexo. El grueso del documento se centra en ofrecer, tras la pertinente introducción, conocimiento sobre:

– Aspectos elementales de seguridad y su relación con servicios Web.
– Funciones y tecnología de los servicios Web.
– Portales Web. El factor humano en la cadena de la seguridad.
– Integración de la seguridad en la prestación de servicios Web.
– Herramientas de implementación y tecnologías Web seguras.

Lo dicho, un documento imprescindible para aquellos que estamos involucrados en el mundillo de la seguridad de servicios Web.

Un saludo,

Un pensamiento en “Guía NIST sobre seguridad de servicios Web

Comentarios cerrados.