OWASP TOP 10 DE RIESGOS DE SEGURIDAD EN APLICACIONES
Es un documento de los 10 riesgos de seguridad mas importantes en aplicaciones web segun la organizacion
OWASP
Su objetivo es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de
alguno de los riesgos mas criticos que enfrentan las organizaciones
Así mismo estos riesgos de seguridad son referenciados en articulos cientificos, tesis de grado y
postgrado, libros de seguridad y organizaciones como MITRE, SANS, PCI, DSS, FCT.
El escenario de amenazas para la seguridad en aplicaciones cambia constantemente.
El top 10 se divide en:
A1: Inyeccion: Tales como SQL, OS, LDAP, ocurre
cuando datos no son confiables y son enviados a un
interprete como parte de un comando o consulta.
A2: Pérdida de Autenticación y Gestión de
Sesiones: Son implementadas incorrectamente,
permitiendo a los atacantes comprometer
contraseñas, claves, token de sesiones.
A3: Secuencia de comandos en Sitios
Cruzados (XSS): Las fallas XSS, ocurren
cada vez que una aplicacion toma datos no
confiables.
A4: Referencia Directa Insegura a Objetos: Los
atacantes pueden manipular estas referencias
para acceder datos no autorizados.
A5: Configuracion de Seguridad Incorrecta:
Incluye mantener todo el software actualizado
incluidas librerias de codigo utilizadas por la
aplicación.
A6: Exposición de Datos Sensibles: Muchas
aplicaciones web no protegen adecuadamente
datos sencibles como numero de trajetas de
credito o credenciales de autenticacion.
A7: Ausencia de Control de Acceso a
Funciones: Si las solicitudes de acceso no se
verifican, los atacantes podran realziar
peticiones sin autorización apropiada.
A8: Falsificación de Peticiones en Sitios
cruzados (CSRF): Permite al atacante
forzar al navegador de la victima generar
pedidos.
A9: Utilización de componentes con
vulnerabilidades conocidas: Debilitan las
defensas de la aplicación y permiten ampliar el
rango de posibles ataques e impactos.
A10: Redirecciones y Reenvios no validados: Sin
validación apropiada los atacantes pueden redirigir a
las victimas hacia sitios de phishing o malware o
utilizar reenvios para acceder paginas no autorizadas.