-
-
Notifications
You must be signed in to change notification settings - Fork 461
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Former-commit-id: 78b2f0b
- Loading branch information
Showing
16 changed files
with
292 additions
and
291 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Large diffs are not rendered by default.
Oops, something went wrong.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -1,84 +1,84 @@ | ||
| # Apéndice A: Glosario | ||
|
|
||
| ## 2FA | ||
| La Autenticación de Segundo Factor agrega un segundo nivel de autenticación al proceso de autenticación de una cuenta. | ||
| La Autenticación de Segundo Factor agrega un segundo nivel de autenticación al proceso de autenticación de una cuenta. | ||
| ## Aleatorización del Espacio de Direcciones (ASLR) | ||
| Una técnica para hacer más difícil la explotación de errores de corrupción de memoria. | ||
| Una técnica para hacer más difícil la explotación de errores de corrupción de memoria. | ||
| ## Seguridad de Aplicación | ||
| La seguridad a nivel de aplicación se centra en el análisis de los componentes que componen la capa de aplicación del modelo de referencia de interconexión de sistemas abiertos (modelo OSI), en lugar de centrarse, por ejemplo, en el sistema operativo subyacente o las redes conectadas. | ||
| La seguridad a nivel de aplicación se centra en el análisis de los componentes que componen la capa de aplicación del modelo de referencia de interconexión de sistemas abiertos (modelo OSI), en lugar de centrarse, por ejemplo, en el sistema operativo subyacente o las redes conectadas. | ||
| ## Verificación de la Seguridad de una Aplicación | ||
| La evaluación técnica de una aplicación contra el OWASP MASVS. | ||
| La evaluación técnica de una aplicación contra el OWASP MASVS. | ||
| ## Reporte de la Verificación de la Seguridad de una aplicación | ||
| Un informe que documenta los resultados generales y el análisis de apoyo producido por el verificador para una aplicación particular. | ||
| Un informe que documenta los resultados generales y el análisis de apoyo producido por el verificador para una aplicación particular. | ||
| ## Autenticación | ||
| La verificación de la identidad pretendida por un usuario de una aplicación. | ||
| La verificación de la identidad pretendida por un usuario de una aplicación. | ||
| ## Verificación Automatizada | ||
| El uso de herramientas automatizadas (herramientas de análisis dinámico, herramientas de análisis estático o ambas) que utilizan firmas de vulnerabilidades para encontrar problemas. | ||
| El uso de herramientas automatizadas (herramientas de análisis dinámico, herramientas de análisis estático o ambas) que utilizan firmas de vulnerabilidades para encontrar problemas. | ||
| ## Verificación de Caja Negra | ||
| Es un método de verificación de software que examina la funcionalidad de una aplicación sin fijarse en sus estructuras internas ni en su funcionamiento. | ||
| Es un método de verificación de software que examina la funcionalidad de una aplicación sin fijarse en sus estructuras internas ni en su funcionamiento. | ||
| ## Componente | ||
| Una unidad de código autónoma, asociado con un disco e interfaces de red que se comunican con otros componentes. | ||
| Una unidad de código autónoma, asociado con un disco e interfaces de red que se comunican con otros componentes. | ||
| ## Cross-Site Scripting (XSS) | ||
| Una vulnerabilidad de seguridad que normalmente se encuentra en las aplicaciones web que permiten la inyección de scripts del lado del cliente en el contenido. | ||
| Una vulnerabilidad de seguridad que normalmente se encuentra en las aplicaciones web que permiten la inyección de scripts del lado del cliente en el contenido. | ||
| ## Módulo Criptográfico | ||
| Hardware, software y/o firmware que implementa algoritmos criptográficos y/o genera claves criptográficas. | ||
| Hardware, software y/o firmware que implementa algoritmos criptográficos y/o genera claves criptográficas. | ||
| ## CWE | ||
| CWE es una lista desarrollada por la comunidad de debilidades comunes de seguridad de software. Sirve como un lenguaje común, un instrumento de medición para las herramientas de seguridad de software, y como una línea base para la identificación de debilidades, mitigación y esfuerzos de prevención. | ||
| CWE es una lista desarrollada por la comunidad de debilidades comunes de seguridad de software. Sirve como un lenguaje común, un instrumento de medición para las herramientas de seguridad de software, y como una línea base para la identificación de debilidades, mitigación y esfuerzos de prevención. | ||
| ## DAST | ||
| Las tecnologías de Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) están diseñadas para detectar condiciones indicativas de una vulnerabilidad de seguridad en una aplicación mientras se está ejecutando. | ||
| Las tecnologías de Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) están diseñadas para detectar condiciones indicativas de una vulnerabilidad de seguridad en una aplicación mientras se está ejecutando. | ||
| ## Verificaciones de Diseño | ||
| La evaluación técnica de la seguridad de la arquitectura de una aplicación. | ||
| La evaluación técnica de la seguridad de la arquitectura de una aplicación. | ||
| ## Verificación Dinámica | ||
| El uso de herramientas automatizadas que utilizan firmas de vulnerabilidades para encontrar problemas durante la ejecución de una aplicación. | ||
| El uso de herramientas automatizadas que utilizan firmas de vulnerabilidades para encontrar problemas durante la ejecución de una aplicación. | ||
| ## Identificado Único Global (GUID) | ||
| Un número de referencia único utilizado como identificador en el software. | ||
| Un número de referencia único utilizado como identificador en el software. | ||
| ## Hyper Text Transfer Protocol (HTTP) | ||
| Un protocolo de aplicación para sistemas de información distribuidos, colaborativos. Es la base de la comunicación de datos para la World Wide Web. | ||
| Un protocolo de aplicación para sistemas de información distribuidos, colaborativos. Es la base de la comunicación de datos para la World Wide Web. | ||
| ## Claves a fuego (Hardcoded keys) | ||
| Claves Criptográficas que se encuentran almacenadas en el código en el dispositivo. | ||
| Claves Criptográficas que se encuentran almacenadas en el código en el dispositivo. | ||
| ## IPC | ||
| Comunicación Entre Procesos (Inter Process Communications), En la Comunicación Entre Procesos un proceso se comunica con otro a través del kernel del dispositivo para coordinar sus actividades. | ||
| Comunicación Entre Procesos (Inter Process Communications), En la Comunicación Entre Procesos un proceso se comunica con otro a través del kernel del dispositivo para coordinar sus actividades. | ||
| ## Validación de la Entrada | ||
| La canonización y validación de las entradas de usuario no confiables. | ||
| La canonización y validación de las entradas de usuario no confiables. | ||
| ## JAVA Bytecode | ||
| Java bytecode es el conjunto de instrucciones de la máquina virtual Java (JVM). Cada bytecode está compuesto por uno, o en algunos casos dos bytes que representan la instrucción (opcode), junto con cero o más bytes para pasar parámetros. | ||
| Java bytecode es el conjunto de instrucciones de la máquina virtual Java (JVM). Cada bytecode está compuesto por uno, o en algunos casos dos bytes que representan la instrucción (opcode), junto con cero o más bytes para pasar parámetros. | ||
| ## Código Malicioso | ||
| Código introducido en una aplicación durante su desarrollo desconocido para el propietario de la aplicación, que elude la política de seguridad pretendida de la aplicación. ¡No es lo mismo que malware o un virus o gusano! | ||
| Código introducido en una aplicación durante su desarrollo desconocido para el propietario de la aplicación, que elude la política de seguridad pretendida de la aplicación. ¡No es lo mismo que malware o un virus o gusano! | ||
| ## Malware | ||
| Código ejecutable que se introduce en una aplicación durante el tiempo de ejecución sin el conocimiento del usuario o administrador de la aplicación. | ||
| Código ejecutable que se introduce en una aplicación durante el tiempo de ejecución sin el conocimiento del usuario o administrador de la aplicación. | ||
| ## Open Web Application Security Project (OWASP) | ||
| El Open Web Application Security Project (OWASP) es una comunidad abierta y gratuita a nivel mundial enfocada en mejorar la seguridad del software de aplicaciones. Nuestra misión es hacer que la seguridad de las aplicaciones sea "visible" para que las personas y las organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad de las aplicaciones. Ver: http://www.owasp.org/ | ||
| El Open Web Application Security Project (OWASP) es una comunidad abierta y gratuita a nivel mundial enfocada en mejorar la seguridad del software de aplicaciones. Nuestra misión es hacer que la seguridad de las aplicaciones sea "visible" para que las personas y las organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad de las aplicaciones. Ver: http://www.owasp.org/ | ||
| ## Información de Identificación Personal (Personally Identifiable Information - PII) | ||
| es la información que se puede utilizar por sí sola o con otra información para identificar, contactar o localizar a una sola persona, o para identificar a un individuo en su contexto. | ||
| es la información que se puede utilizar por sí sola o con otra información para identificar, contactar o localizar a una sola persona, o para identificar a un individuo en su contexto. | ||
| ## PIE | ||
| es un código máquina que, al ser colocado en algún lugar de la memoria, se ejecuta correctamente independientemente de su dirección absoluta. | ||
| es un código máquina que, al ser colocado en algún lugar de la memoria, se ejecuta correctamente independientemente de su dirección absoluta. | ||
| ## PKI | ||
| PKI es un acuerdo que vincula claves públicas con las identidades respectivas de las entidades. La vinculación se establece mediante un proceso de registro y expedición de certificados en y por una autoridad de certificación (CA). | ||
| PKI es un acuerdo que vincula claves públicas con las identidades respectivas de las entidades. La vinculación se establece mediante un proceso de registro y expedición de certificados en y por una autoridad de certificación (CA). | ||
| ## SAST | ||
| Las pruebas de seguridad de aplicaciones estáticas (SAST) son un conjunto de tecnologías diseñadas para analizar el código fuente de la aplicación, el bytecode y los binarios del código y las condiciones del diseño que son indicativas de las vulnerabilidades de seguridad. Las soluciones SAST analizan una aplicación desde "dentro hacia fuera" en un estado reposo. | ||
| Las pruebas de seguridad de aplicaciones estáticas (SAST) son un conjunto de tecnologías diseñadas para analizar el código fuente de la aplicación, el bytecode y los binarios del código y las condiciones del diseño que son indicativas de las vulnerabilidades de seguridad. Las soluciones SAST analizan una aplicación desde "dentro hacia fuera" en un estado reposo. | ||
| ## SDLC | ||
| Ciclo de desarrollo de una aplicación. | ||
| Ciclo de desarrollo de una aplicación. | ||
| ## Seguridad de la Arquitectura | ||
| Una abstracción del diseño de una aplicación que identifica y describe dónde y cómo se utilizaran los controles de seguridad, e identifica y describe la ubicación y sensibilidad de los datos tanto del usuario como de la aplicación. | ||
| Una abstracción del diseño de una aplicación que identifica y describe dónde y cómo se utilizaran los controles de seguridad, e identifica y describe la ubicación y sensibilidad de los datos tanto del usuario como de la aplicación. | ||
| ## Configuración de Seguridad | ||
| La configuración en tiempo de ejecución de una aplicación que afecta a la forma en que se utilizan los controles de seguridad. | ||
| La configuración en tiempo de ejecución de una aplicación que afecta a la forma en que se utilizan los controles de seguridad. | ||
| ## Control de Seguridad | ||
| Una función o componente que realiza un chequeo de seguridad (por ejemplo, una verificación del control de acceso) o cuando se llama produce un evento de seguridad (por ejemplo, al generar un registro de auditoría). | ||
| Una función o componente que realiza un chequeo de seguridad (por ejemplo, una verificación del control de acceso) o cuando se llama produce un evento de seguridad (por ejemplo, al generar un registro de auditoría). | ||
| ## Inyección SQL (SQLi) | ||
| Una técnica de inyección de código utilizada para atacar aplicaciones basadas en datos, en la que se insertan instrucciones SQL maliciosas en un punto de entrada. | ||
| Una técnica de inyección de código utilizada para atacar aplicaciones basadas en datos, en la que se insertan instrucciones SQL maliciosas en un punto de entrada. | ||
| ## Autenticación SSO | ||
| Single Sign On(SSO) se produce cuando un usuario inicia sesión en un Cliente y luego se conecta a otros Clientes automáticamente, independientemente de la plataforma, tecnología o dominio que esté utilizando el usuario. Por ejemplo, cuando te conectas en Google, automáticamente accedes al servicio de YouTube, Drive y Gmail. | ||
| Single Sign On(SSO) se produce cuando un usuario inicia sesión en un Cliente y luego se conecta a otros Clientes automáticamente, independientemente de la plataforma, tecnología o dominio que esté utilizando el usuario. Por ejemplo, cuando te conectas en Google, automáticamente accedes al servicio de YouTube, Drive y Gmail. | ||
| ## Modelado de Amenazas | ||
| Una técnica que consiste en desarrollar arquitecturas de seguridad cada vez más perfeccionadas para identificar agentes de amenazas, zonas de seguridad, controles de seguridad e importantes activos técnicos y empresariales. | ||
| Una técnica que consiste en desarrollar arquitecturas de seguridad cada vez más perfeccionadas para identificar agentes de amenazas, zonas de seguridad, controles de seguridad e importantes activos técnicos y empresariales. | ||
| ## Seguridad en la Capa de Transporte (TLS) | ||
| Protocolos criptográficos que proporcionan seguridad en las comunicaciones a través de Internet. | ||
| Protocolos criptográficos que proporcionan seguridad en las comunicaciones a través de Internet. | ||
| ## URI y URL | ||
| Un Identificador Uniforme de Recursos es una cadena de caracteres que se utiliza para identificar un nombre o un recurso web. Un Localizador Uniforme de Recursos se utiliza a menudo como referencia a un recurso. | ||
| Un Identificador Uniforme de Recursos es una cadena de caracteres que se utiliza para identificar un nombre o un recurso web. Un Localizador Uniforme de Recursos se utiliza a menudo como referencia a un recurso. | ||
| ## Pruebas de Aceptación de Usuario (UAT) | ||
| Tradicionalmente un entorno de pruebas que se comporta como el entorno de producción donde se realizan todas las pruebas de la aplicación antes de su puesta en marcha. | ||
| Tradicionalmente un entorno de pruebas que se comporta como el entorno de producción donde se realizan todas las pruebas de la aplicación antes de su puesta en marcha. | ||
| ## Verificador | ||
| La persona o equipo que está revisando una aplicación contra los requerimientos del MASVS de OWASP. | ||
| La persona o equipo que está revisando una aplicación contra los requerimientos del MASVS de OWASP. | ||
| ## Lista Blanca | ||
| Una lista de datos u operaciones permitidas, por ejemplo, una lista de caracteres que permiten realizar la validación de la entrada. | ||
| Una lista de datos u operaciones permitidas, por ejemplo, una lista de caracteres que permiten realizar la validación de la entrada. | ||
| ## Certificado X.509 | ||
| Un certificado X. 509 es un certificado digital que utiliza el estándar internacional de infraestructura de clave pública (PKI) X. 509 ampliamente aceptada para verificar que una clave pública pertenece a la identidad de usuario, computadora o servicio contenida en el certificado. | ||
| Un certificado X. 509 es un certificado digital que utiliza el estándar internacional de infraestructura de clave pública (PKI) X. 509 ampliamente aceptada para verificar que una clave pública pertenece a la identidad de usuario, computadora o servicio contenida en el certificado. |
Oops, something went wrong.