Zusammenfassung der Ressource
OWASP TOP 10 DE RIESGOS DE SEGURIDAD EN APLICACIONES
- Es un documento de los 10 riesgos de seguridad mas importantes en aplicaciones web segun la organizacion
OWASP
- Su objetivo es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de
alguno de los riesgos mas criticos que enfrentan las organizaciones
- Así mismo estos riesgos de seguridad son referenciados en articulos cientificos, tesis de grado y
postgrado, libros de seguridad y organizaciones como MITRE, SANS, PCI, DSS, FCT.
- El escenario de amenazas para la seguridad en aplicaciones cambia constantemente.
- El top 10 se divide en:
- A1: Inyeccion: Tales como SQL, OS, LDAP, ocurre
cuando datos no son confiables y son enviados a un
interprete como parte de un comando o consulta.
- A2: Pérdida de Autenticación y Gestión de
Sesiones: Son implementadas incorrectamente,
permitiendo a los atacantes comprometer
contraseñas, claves, token de sesiones.
- A3: Secuencia de comandos en Sitios
Cruzados (XSS): Las fallas XSS, ocurren
cada vez que una aplicacion toma datos no
confiables.
- A4: Referencia Directa Insegura a Objetos: Los
atacantes pueden manipular estas referencias
para acceder datos no autorizados.
- A5: Configuracion de Seguridad Incorrecta:
Incluye mantener todo el software actualizado
incluidas librerias de codigo utilizadas por la
aplicación.
- A6: Exposición de Datos Sensibles: Muchas
aplicaciones web no protegen adecuadamente
datos sencibles como numero de trajetas de
credito o credenciales de autenticacion.
- A7: Ausencia de Control de Acceso a
Funciones: Si las solicitudes de acceso no se
verifican, los atacantes podran realziar
peticiones sin autorización apropiada.
- A8: Falsificación de Peticiones en Sitios
cruzados (CSRF): Permite al atacante
forzar al navegador de la victima generar
pedidos.
- A9: Utilización de componentes con
vulnerabilidades conocidas: Debilitan las
defensas de la aplicación y permiten ampliar el
rango de posibles ataques e impactos.
- A10: Redirecciones y Reenvios no validados: Sin
validación apropiada los atacantes pueden redirigir a
las victimas hacia sitios de phishing o malware o
utilizar reenvios para acceder paginas no autorizadas.