Visión General

La mayoría de las plataformas de aplicaciones Web no incluyen características para validar entradas del usuario. Esto deja a muchas organizaciones a crear sus propios mecanismos de validación, normalmente incompletos, defectuosos e ineficientes.

El Proyecto de Validación de OWASP fue creado para proveer guía y herramientas relacionadas a la validación. Nuestra filosofía es que la validación es requerida para cada petición HTTP, incluyendo cabeceras, cadenas, cookies, formas, campos y campos ocultos.

Actualmente, hay varios proyectos en desarrollo para crear tecnologías de validación para varias plataformas. La meta a largo plazo es proveer una guía detallada para implementar validación de entradas propia así como proveer validación de motores para ambientes de aplicaciones Web populares.

¡El Proyecto de Validación de OWASP necesita un Líder! ¡Si esta interesado contacte a owasp ‘en’ owasp.org!

Retroalimentación y Participación:

Esperamos encuentre el Proyecto de Validación de OWASP útil. Por favor contribuya al proyecto participando como voluntario en alguna de las Tareas, enviando sus comentarios, preguntas y sugerencias a [email protected]. Para unirse a la lista de distribución del Proyecto de Validación de OWASP o ver los archivos, por favor visite la pagina de subscripción.

Noticias

¡Borrador del Cuestionario de Validación Liberado! - 14:05, 23 January 2007 (EST)

El Proyecto de Validación de OWASP esta complacido de anunciar la liberación del borrador del "Cuestionario de Validación." El propósito de este documento es ayudar a los desarrolladores en hacer un nivel básico de modelación de riesgos de validación de entradas. Si podemos definir claramente las fuentes de entradas de nuestras aplicaciones y el riesgo potencial asociado a cada fuente, entonces podemos implementar mejor un esquema de validación de entradas apropiado. ¡Por favor siéntase libre de ofrecer sugerencias para mejorar!

Clic aquí para bajar el cuestionario.

¡Nuevos filtros J2EE OWASP liberados! - 10:07, 5 January 2007 (EST)

¡La comnidad de OWASP ha liberado dos filtros J2EE totalmente nuevos! Ambos intentan dirigirse a los temas calientes actuales en la comunidad de seguridad en aplicaciones Web.

• OWASP CSRF Guard – protege una aplicación Web de ataques de Cross-Site Request Forgery a través de el uso de un token aleatorio único
• PDF Attack Filter – protege una aplicación web de el recientemente descubierto XSS-PDF Flaw a través de un truco de redireccionamiento

Si tiene alguna sugerencia o comentario para cualquier filtro, por favor envíe sus comentarios a [email protected]

Clic aquí para noticias viejas...

Project Roadmap

Las tres principales metas del proyecto de Validación de OWASP son las siguientes:

1. contruir una guía de validación de entradas
2. proveer e implementar mecanismos de validación de entradas para varias plataformas
3. rescribir Stinger para incorporar los principios de diseño en la guía

El Mapa de Camino del Proyecto de Validación de OWASP contiene la última información tanto de metas del proyecto como fechas de liberación.

Guía para Construir Validación de Entradas

Una de las metas principales del Proyecto de Validación de OWASP es proveer documentación clara y detallada acerca de cómo construir mecanismos de validación de entradas para las necesidades de su aplicación web. En el futuro cercano, esta sección contendrá dicha documentación. ¡Regrese pronto!

Implementación

La segunda meta principal del Proyecto de Validación de OWASP es proveer mecanismos de validación de entrada que adhieran uno o más principios de diseño trazados in la ‘Guía de Validación de Entradas’. Si tiene un proyecto que encaje en este requerimiento, por favor envíelo vía correo electrónico a el líder del proyecto.

Documentación de Validación de OWASP

El propósito primario del proyecto Documentación de Validación de OWASP es proveer los principios de diseño necesarios para construir un motor de validación de entradas efectivo. Más puede ser encontrado aquí.

Java

La librería Stinger es un Motor de Validación J2EE completo que se adhiere fuertemente a los principios descritos en la Documentación de Validación. Más información puede ser encontrada en la página del proyecto Stinger en http://www.owasp.org/index.php/OWASP_Stinger_Project

Los marcos web de Java más modernos incluyen sus propias características de validación de entradas. Todos estos pueden validar información de entradas en peticiones GET y POST, pero usualmente no validan la información de la cookie. Marcos Web que proveen sus propias características de validación de entradas incluyen:

• Apache Struts
• WebWork
• Spring MVC
• Java Server Faces
• JBoss Seam

.NET

Una de las metas del Proyecto de Validación de OWASP es implementar Stinger 2.0 en la plataforma .NET.

Si está interesado en liderar este proyecto, por favor contacte a Eric Sheridan.

Por favor refiérase al mapa de camino del proyecto para un tiempo estimado de llegada.

PHP

El Proyecto de Filtros PHP provee un marco API para validar entradas para varios propósitos. El proyecto puede ser encontrado aquí.

OWASP libero recientemente el OWASP Top 5, un artículo que ilustra varios vectores de ataque contra aplicaciones PHP.

La mayoría del PHP Top 5 pueden ser aliviados con un mecanismo de validación sólido y bien definido.

ASP clásico

Stinger 1.0 fue migrado al clásico puro código ASP VBScript, Vea OWASP_Stinger_Version_1 para mayor información sobre esta versión. Note que la versión para ASP carga únicamente un archivo de reglar por página para el fácil uso de desarrolladores. Si necesita un conjunto diferente de reglas para una página en singular use reglas programáticas. Puede descargar este proyecto aquí.

Repositorio RegEx

El Repositorio RegEx de OWASP contiene una multitud de expresiones regulares para tipos de información comunes. Desarrolladores implementando motores de validación de entradas deberían revisar estás expresiones regulares. ¡Ahorre tiempo de desarrollo en expresiones regulares complicadas que ya existen!

Patrocinador del Proyecto

El proyecto de Validación de OWASP es patrocinado por