Pin It

Security

El OWASP Top 10 proporciona un documento de gran alcance para concientizar sobre seguridad de aplicaciones web y esta lista representa un amplio consenso acerca de los fallos de seguridad en las aplicaciones web. Los miembros del proyecto incluyen una gran variedad de expertos en seguridad de todo el mundo que han compartido su experiencia para producir esta lista. Las versiones de los Top 10 de 2007 y 2010 se tradujeron al Inglés, francés español japonés, coreano y turco y otros idiomas.



Como ya habíamos adelantado, el Top 10 de OWASP 2013 modifica el orden pero las principales vulnerabilidades y su funcionamiento sigue siendo el mismo.

  • A1 - Injection: corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes.
  • A2 - Broken Authentication and Session Management (anteriormente 2010-A3): corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación.
  • A3 - Cross-Site Scripting (XSS) (anteriormente 2010-A2): ocurre cuando existe validación pobre de la información ingresada por el atacante.
  • A4 - Insecure Direct Object References: puede derivar en un acceso no autorizado a información crítica debido a errores en el diseño o desarrollo.
  • A5 - Security Misconfiguration (anteriormente 2010-A6): corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación.
  • A6 - Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage y 2010-A9 Insufficient Transport Layer Protection formaron 2013-A6): se refiere a la protección incorrecta de datos críticos tales como, por ejemplo, números de tarjetas de crédito, contraseñas, entre otros.
  • A7 - Missing Function Level Access Control: corresponde a la falta de controles desde el servidor, permitiendo a un posible atacante acceder a funciones a las que no debería.
  • A8 - Cross-Site Request Forgery (CSRF) (anteriormente 2010-A5): permite a un atacante generar peticiones sobre una aplicación vulnerable a partir de la sesión de la víctima.
  • A9 - Using Known Vulnerable Components (anteriormente formaba parte de 2010-A6): corresponde a la explotación de librerías, frameworks y otros componentes vulnerables por parte de un atacante con el fin de obtener acceso o combinar con otros ataques.
  • A10 - Unvalidated Redirects and Forwards: los atacantes aprovechan el uso de redirecciones de sitios web a otros sitios utilizando información no confiable (untrusted) para redirigir a las víctimas a sitios de phishing o que contienen malware. 
El documento se puede descargar desde el sitio de OWASP en formato PDF.

0 comentarios:

Publicar un comentario

 
Top