OWASP Top 10
La Open Web Application Security Project (OWASP) se ha constituido como un estándar de facto en lo referente a identificación y catalogación de riesgos de las aplicaciones web, y en la elaboración de sus catálogos intervienen los mas prestigiosos expertos mundiales en el tema, que aportan y consensúan estándares y procedimientos de actuación al respecto.
Cada año, la organización hace pública una lista de los diez más importantes riesgos que han de afrontarse, teniendo en cuenta los informes de incidentes que se hayan producido y evaluaciones sobre la peligrosidad, prevalencia y posibles impactos que pueden acarrear cada uno de ellos. Este informe es tenido en cuenta por organizaciones tales como la U.S. Federal Trade Commission, la Defense Information Systems Agency (DISA), MITRE y PCI-DSS para establecer las mejores prácticas en cuanto a seguridad de los sistemas de información.
En el siguiente cuadro queremos resumir los cinco mas importantes factores de riesgo aislados, remitiendo a los lectores a https://www.owasp.org/index.php/Main_Page si desean obtener mayor información.
# | Nombre | Qué es | Qué ataca | Consecuencias |
1 | Inyección | Una aplicación hostil envía a un intérprete datos o sentencias comprometedoras SQL, OS o LDAP como parte de un comando o una petición, engañándole y haciendo que ejecute accesos y exponga datos no autorizados o realice acciones no previstas. | Particularmente habituales contra aplicaciones con una cierta antiguedad | Muy severas, ya que la(s) base(s) de datos pueden ser leídas y/o modificadas en su totalidad |
2 | Ruptura de la autenticación y gestión de las sesiones | Las funciones aplicativas relacionadas con autenticación a menudo no se implementan correctamente, permitiendo a los atacantes comprometer las contraseñas, claves, identificadores de sesión u otras debilidades y asumir la identidad de otros usuarios | Sistemas de autenticación elaborados o implantados sin un conocimiento profundo de las necesidades, buscando perfiles de administración | Dependiendo de los privilegios, el atacante puede actuar sobre el sistema de la misma forma que lo haría la víctima |
3 | Secuencias de comandos en sitios cruzados. | Inyección de código en páginas web vistas por el usuario evitando medidas de control, usualmente causada al no validar correctamente los datos de entrada usados o no sanear la salida para su presentación. | Introducen código HTML peligroso en sitios que lo permitan o modifican valores que la aplicación web utiliza para pasar variables | Vector utilizado para robar información delicada, secuestrar sesiones de usuario y comprometer el navegador |
4 | Referencias directas inseguras a objetos | Posibilidad de acceder a objetos no autorizados manipulando referencias visibles o utilizables en una aplicación | Puede ocurrir si no se validan adecuadamente las autorizaciones del usuario respecto de ficheros o datos | Permiten a usuarios acceder a informaciones sensibles que no deberían ver. |
5 | Inadecuada configuración de la seguridad | Se produce a cualquier nivel de la instalación cuando es posible identificar (y explotar) problemas de actualización y parches no instalados | Aprovecha vulnerabilidades conocidas y anunciadas por los fabricantes, cuentas por defecto, páginas en blanco, ficheros no protegidos para tomar control | El sistema puede quedar completamente comprometido sin que los administradores lo adviertan. Los datos pueden ser extraidos o modificados sin que quede ninguna constancia |