Contenido
Verificaciones de Seguridad en Aplicaciones Web
| Identificador | Descripción | Ayuda | Severidad | CVSS |
|---|---|---|---|---|
| SEG-01 | La aplicación tiene una robustez suficiente contra ataques de fuerza bruta o de diccionario. | La aplicación web no es robusta contra ataque de fuerza bruta o diccionario | Media | 6.0 |
| SEG-02 | Existe un control en la aplicación para evitar el acceso tras un tiempo inactivo. | La aplicación web no bloquea el acceso tras un tiempo de inactividad permitiendo que sesiones abiertas queden expuestas | Media | 5.7 |
| SEG-03 | La desconexión de la sesión debe ser controlada desde la aplicación tras un tiempo de inactividad. | La aplicación web no cierra automáticamente la sesión tras un periodo prolongado sin actividad | Baja | 3.8 |
| SEG-04 | La aplicación tiene implementado funcionalidad para salir de la misma y evitar robo de identidad. | La aplicación web no ofrece un mecanismo de cierre de sesión | Media | 5.9 |
| SEG-05 | Identificación de escenarios de denegación de servicio por bloqueo de cuentas de usuarios tras un número determinado de intentos de acceso fallidos. | La aplicación web puede bloquear cuentas de usuarios legítimos tras varios intentos fallidos de inicio de sesión, generando escenarios de denegación de servicio | Baja | 3.9 |
| SEG-06 | La aplicación controla la reflexión inmediata y los ataques almacenados. Protegiendo de la inyección del tipo "Cross-Site Scripting". | La aplicación web es vulnerable a ataques Cross-Site Scripting (XSS) | Alta | 7.7 |
| SEG-07 | La inyección SQL es evitada por la aplicación. | La aplicación web es vulnerable a ataques de inyección SQL | Alta | 7.9 |
| SEG-08 | La inyección LDAP es evitada por la aplicación. | La aplicación web es vulnerable contra intentos de inyección LDAP | Alta | 7.0 |
| SEG-09 | La inyección XML es evitada por la aplicación. | La aplicación web es vulnerable contra intentos de inyección XML | Media | 5.6 |
| SEG-10 | Verificar que la aplicación no permite inyección de comandos en el sistema operativo. | La aplicación web es vulnerable a inyección de comandos del sistema operativo | Media | 6.5 |
| SEG-11 | El espacio de claves utilizados debe ser suficiente grande para prevenir ataques de fuerza bruta. | La aplicación web permite establecer contraseñas de longitud inapropiada | Alta | 7.1 |
| SEG-12 | Verificar que la aplicación genera automáticamente contraseñas de autenticación fuertes. | La aplicación web no genera automáticamente contraseñas de autenticación robustas | Media | 5.7 |
| SEG-13 | Verificar que en la operación de cambio de contraseña, se solicita el valor antiguo del mismo. | La aplicación web permite cambiar la contraseña sin solicitar la contraseña anterior | Media | 5.7 |
| SEG-14 | Los algoritmos de cifrado deben cumplir con la normativa de seguridad. | La aplicación web no utiliza un protocolo seguro para enviar la información crítica | Alta | 7.1 |
| SEG-15 | Comprobar que los datos sensibles se almacenan en el sistema encriptados. | La aplicación web utiliza algoritmos de cifrados inseguros | Media | 5.5 |
| SEG-16 | Comprobar que la información sensible es tratada sin cifrar solo en las ocasiones en la que es imprescindible desencriptarla. | La aplicación web no hace uso de la cabecera HSTS para evitar el envío de la información sin cifrar | Baja | 3.8 |
| SEG-17 | Verificar que no existe una protección insuficiente en la capa de transporte que revele datos críticos, como contraseñas. | La aplicación web no protege adecuadamente la capa de transporte y/o utiliza certificados inseguros exponiendo datos durante la comunicación | Alta | 8.0 |
| SEG-18 | No deben mostrarse parámetros en la URL. | La aplicación web contiene información inapropiada en la url | Baja | 3.8 |
| SEG-19 | No deben mostrarse en la URL parámetros cuyo nombre pueda indicar la información que contienen. | La aplicación web incluye parámetros en la URL cuyos nombres revelan datos sensibles | Baja | 3.8 |
| SEG-20 | Las referencias cruzadas de páginas no deben contener información de direcciones IP físicas. | La aplicación web contiene información de direcciones IP físicas en las referencias cruzadas | Baja | 3.8 |
| SEG-21 | Comprobar que no se pueden realizar ataques por fijación de sesión, ni se revela el o los parámetros que identifican la sesión en la URL. | La aplicación web expone identificadores de sesión en la URL y/o es vulnerable a ataques de fijación de sesión | Alta | 7.8 |
| SEG-22 | Comprobar que el o los parámetros que identifican la sesión no se generan mediante algoritmos predecibles. | La aplicación web genera identificadores de sesión con algoritmos predecibles | Media | 5.7 |
| SEG-23 | Verificar que no existe un inapropiado manejo de la información y de errores que puedan ayudar a aumentar el riesgo de otras vulnerabilidades. | La aplicación web muestra mensajes de error con información técnica que puede ser aprovechada por un atacante para descubrir otras vulnerabilidades | Media | 4.3 |
| SEG-24 | Verificar que no se utilizan cuentas y usuarios predeterminados o predecibles. | La aplicación web utiliza cuentas predeterminadas o fácilmente adivinables | Baja | 3.9 |
| SEG-25 | Verificar que no es posible realizar escalado de privilegios. | La aplicación web permite el escalado de privilegios en partes concretas | Alta | 7.6 |
| SEG-26 | Verificar que se registra los accesos de los usuarios al sistema. | La aplicación web no registra correctamente los accesos de los usuarios | Baja | 3.8 |
| SEG-27 | Comprobar que no se puede realizar una ejecución maliciosa de archivos en el lado del servidor pudiéndose perder el control total sobre la máquina. | La aplicación web permite la ejecución de archivos maliciosos en el servidor | Alta | 7.1 |
| SEG-28 | Comprobar que no existen referencias a objetos inseguras, ni que se pueden realizar ataques por transversal path. | La aplicación web expone referencias a objetos inseguras y/o permite ataques de transversal path | Alta | 7.1 |
| SEG-29 | Verificar que las peticiones más críticas de la aplicación no son susceptibles de ataques CSRF (Cross-site request forgery). | La aplicación web es vulnerable a ataques de CSRF | Alta | 7.6 |
| SEG-30 | Verificar que no se pueden realizar ataques de manipulación de "proxys" o "caches" (por ejemplo, mediante http response splitting). | La aplicación web permite manipulación de proxys y/o cachés mediante técnicas como HTTP response splitting | Media | 5.7 |
| SEG-31 | Verificar que no existen fallos a la hora de restringir el acceso a las URLs. | La aplicación web no restringe el acceso a ciertas URL's | Media | 4.6 |
| SEG-32 | Verificar que no se puede acceder a la información mediante protocolos con niveles de seguridad diferentes (por ejemplo, http y https). | La aplicación web permite acceder a información mediante protocolos inseguros como HTTP en lugar de HTTPS | Media | 5.7 |
| SEG-33 | Verificar que no es posible acceder sin permisos a los ficheros de configuración del entorno web. | La aplicación web no restringe el acceso a ficheros de configuración del servidor web | Media | 4.4 |
| SEG-34 | Verificar que no se almacenan archivos obsoletos en directorios de la aplicación dentro del servidor de aplicaciones. | La aplicación web almacena archivos obsoletos en directorios accesibles del servidor | Baja | 2.8 |
| SEG-35 | Verificar que los documentos publicados no contienen metadatos relevantes. | La aplicación web contiene documentos que disponen de metadatos con información sensible | Baja | 3.8 |
| SEG-36 | Verificar que no se utilizan campos HTML ocultos que almacenan información sensible sin establecer mecanismos de seguridad. | La aplicación web emplea campos HTML ocultos con información sensible | Media | 4.0 |
| SEG-37 | Verificar el uso del doble factor de autenticación en la aplicación | La aplicación web no implementa doble factor de autenticación para reforzar la seguridad | Alta | 7.0 |
| SEG-38 | Verificar que no es posible evitar los controles de seguridad que evalúan si el usuario no es un proceso automático (captcha, etc.). | La aplicación web permite omitir los controles diseñados para detectar accesos automáticos (por ejemplo, captchas) | Baja | 3.7 |
| SEG-39 | Verificar que existen controles de seguridad efectivos que evitan ataques por desbordamiento de buffers. | La aplicación web no implementa controles contra ataques de desbordamiento de buffer | Baja | 2.7 |
| SEG-40 | Verificación de las vulnerabilidades públicas existentes para los productos utilizados o integrados en la aplicación. | La aplicación web utiliza productos o componentes con vulnerabilidades públicas conocidas | * | * |
| SEG-41 | Verificación de vulnerabilidades específicas del aplicativo auditado, como puede ser por ejemplo en un servicio de webmail, no poder enviar mensajes suplantando la identidad de otro usuario. | La aplicación web posee vulnerabilidades específicas, como ... | * | * |
| SEG-42 | Verificar el uso correcto de métodos HTTP para el envío de información entre el cliente y el servidor | La aplicación web no emplea correctamente los métodos HTTP para el envío de datos | Media | 6.3 |
| SEG-43 | Verificar el uso del atributo "autocomplete" en el campo de contraseña de la aplicación. | La aplicación web no controla el atributo “autocomplete” en los campos de contraseñas, lo que puede exponer credenciales | Baja | 3.8 |
| SEG-44 | Comprobar que existe un tiempo de expiración para las cookies de autenticación | La aplicación web no define un tiempo adecuado de expiración para las cookies de autenticación | Media | 4.1 |
| SEG-45 | Comprobar que existe un manejo adecuado de roles y permisos en la aplicación | La aplicación web no gestiona correctamente los roles y permisos | Alta | 7.5 |
| SEG-46 | Comprobar que existe un manejo adecuado de los atributos de las cookies de sesión | La aplicación web no implementa adecuadamente los atributos de seguridad para las cookies de sesión | Media | 6.4 |
| SEG-47 | Verificar el cierre de todas las sesiones abiertas al cambiar la contraseña | La aplicación web no cierra la sesión abierta cuando el usuario modifica su contraseña | Baja | 3.9 |
| SEG-48 | La inyección HTTP es evitada por la aplicación | La aplicación web es vulnerable a ataques de inyección HTTP | Media | 5.0 |
| SEG-49 | Comprobar que la aplicación rechaza cualquier dato inesperado (Inyección de código) | La aplicación web no rechaza datos inesperados, permitiendo inyección de código | Alta | 7.5 |
| SEG-50 | Autentificar y autorizar al usuario antes de cargar o descargar cualquier archivo | La aplicación web no autentica ni autoriza correctamente al usuario antes de subir o descargar ficheros | Baja | 3.6 |
| SEG-51 | Comprobar que no es posible renombrar archivos dentro de la aplicación | La aplicación web permite renombrar ficheros de forma no controlada | Media | 5.0 |
| SEG-52 | Comprobar que existe un tiempo de expiración para las transacciones | La aplicación web no define un tiempo adecuado de expiración para las transacciones | Baja | 3.9 |
| SEG-53 | Utilización de la información almacenada en la caché. | La aplicación web no emplea cabeceras para evitar el almacenamiento de información sensible en la caché | Media | 4.6 |
*NOTA: SEG-40: El mapeo no se ha podido llevar a cabo, debido a que el mapeo depende de las vulnerabilidades conocidas de los productos o componentes empleados por el sistema.
*NOTA: SEG-41: Este mapeo no se ha podido realizar porque depende de las vulnerabilidades específicas del sistema auditado.
FECHA ACTUALIZACIÓN
21/11/2025
Índice