Tabla de contenido
Guía del desarrollador OWASP
Una guía para dessarrollar aplicaciones y servicios web seguros
2 Fundamentos
2.1 Fundamentos de Seguridad
2.2 Desarrollo e integración Segura
2.3 Principios de Seguridad
2.4 Principios de Criptografía
2.5 Top 10 de OWASP
3 Requerimientos
3.1 Requerimientos en la práctica
3.2 Perfil de riesgo
3.3 OpenCRE
3.4 SecurityRAT
3.5 Estandard de Verificación de Securidad de Aplicaciones
3.6 Seguridad de aplicaciones móviles
3.7 Framework de Conocimiento de Seguridad
4 Diseño
4.1 Modelado de amenazas
4.1.1 Modelado de amenazas en la práctica
4.1.2 pytm
4.1.3 Threat Dragon
4.1.4 Cornucopia
4.1.5 LINDDUN GO
4.1.6 Kit de herramientas de modelado de amenazas
4.2 Lista de verificación de aplicaciones web
4.2.1 Definir requisitos de seguridad
4.2.2 Aprovechar los frameworks y librerías
4.2.3 Asegurar el acceso a la base de datos
4.2.4 Codificar y escapar caracteres especiales en datos
4.2.5 Validar todas las entradas
4.2.6 Implementar identidad digital
4.2.7 Hacer respetar los controles de acceso
4.2.8 Proteger los datos en todas partes
4.2.9 Implementar registro y monitoreo de seguridad
4.2.10 Manejar todos los errores y excepciones
4.3 Lista de verificación de aplicaciones móviles
5 Implementación
5.1 Documentación
5.1.1 Los Top 10 controles proactivos
5.1.2 Prácticas de codificación seguras de Go
5.1.3 Serie de hojas de referencia
5.2 Dependencias
5.2.1 Dependency-Check
5.2.2 Dependency-Track
5.2.3 CycloneDX
5.3 Librerías seguras
5.3.1 Librería de API de seguridad empresarial
5.3.2 Librería CSRFGuard
5.3.3 Proyecto OWASP Secure Headers
5.4 Mobile application weakness enumeration
6 Verificación
6.1 Guías
6.1.1 Guía de testeo de seguridad web
6.1.2 Guía de testeo MAS
6.1.3 Estándar de verificación de seguridad de aplicaciones
6.2 Herramientas
6.2.1 DAST tools
6.2.2 Amass
6.2.3 Framework Offensive Web Testing
6.2.4 Nettacker
6.2.5 Proyecto OWASP Secure Headers
6.3 Frameworks
6.3.1 SecureCodeBox
6.4 Gestión de vulnerabilidades
6.4.1 DefectDojo
7 Capacitación y Educación
7.1 Aplicaciones vulnerables
7.1.1 Juice Shop
7.1.2 WebGoat
7.1.3 PyGoat
7.1.4 Security Shepherd
7.2 Secure Coding Dojo
7.3 Security Knowledge Framework
7.4 SamuraiWTF
7.5 Proyecto OWASP Top 10
7.6 Mobile Top 10
7.7 API Top 10
7.8 WrongSecrets
7.9 OWASP Snakes and Ladders
8 Desarrollo de cultura y maduración de procesos
8.1 Cultura de seguridad
8.2 Defensores de Seguridad
8.2.1 Programa de Defensores de seguridad
8.2.2 Guía de Defensores de seguridad
8.2.3 Manual de Defensores de seguridad
8.3 Modelo de madurez de garantía de software
8.4 Estándar de verificación de seguridad de aplicaciones
8.5 Seguridad de aplicaciones móviles
9 Operaciones
9.1 Directriz DevSecOps
9.2 Firewall de aplicaciones web Coraza
9.3 Firewall de aplicaciones web ModSecurity
9.4 OWASP CRS
10 Métricas
11 Análisis de brechas de seguridad
11.1 Guías
11.1.1 Modelo de madurez de garantía de software
11.1.2 Estándar de verificación de seguridad de aplicaciones
11.1.3 Seguridad de aplicaciones móviles
11.2 Herramienta de registro de errores
12 Apéndices
12.1 Qué hacer y qué no hacer en la implementación
12.1.1 Seguridad de Contenedores
12.1.2 Codificación segura
12.1.3 Prácticas criptográficas
12.1.4 Suplantación de aplicaciones
12.1.5 Política de seguridad de contenido (CSP)
12.1.6 Manejo de excepciones y errores
12.1.7 Administración de archivos
12.1.8 Administración de memoria
12.2 Qué hacer y qué no hacer en la verificación
12.2.1 Entorno seguro
12.2.2 Refuerzo de seguridad del sistema
12.2.3 Software de código abierto