OWASP Top 10

La Open Web Application Security Project (OWASP) se ha constituido como un estándar de facto en lo referente a identificación y catalogación de riesgos de las aplicaciones web, y en la elaboración de sus catálogos intervienen los mas prestigiosos expertos mundiales en el tema, que aportan y consensúan estándares y procedimientos de actuación al respecto.

Cada año, la organización hace pública una lista de los diez más importantes riesgos que han de afrontarse, teniendo en cuenta los informes de incidentes que se hayan producido y evaluaciones sobre la peligrosidad, prevalencia y posibles impactos que pueden acarrear cada uno de ellos. Este informe es tenido en cuenta por organizaciones tales como  la U.S. Federal Trade Commission, la Defense Information Systems Agency (DISA), MITRE y PCI-DSS para establecer las mejores prácticas en cuanto a seguridad de los sistemas de información.

En el siguiente cuadro queremos resumir los cinco mas importantes factores de riesgo aislados, remitiendo a los lectores a https://www.owasp.org/index.php/Main_Page si desean obtener mayor información.

#NombreQué esQué atacaConsecuencias
1InyecciónUna aplicación hostil envía a un intérprete datos o sentencias comprometedoras SQL, OS o LDAP como parte de un comando o una petición, engañándole y haciendo que ejecute accesos y exponga datos no autorizados o realice acciones no previstas.Particularmente habituales contra aplicaciones con una cierta antiguedadMuy severas, ya que la(s) base(s) de datos pueden ser leídas y/o modificadas en su totalidad
2Ruptura de la autenticación y gestión de las sesionesLas funciones aplicativas relacionadas con autenticación a menudo no se implementan correctamente, permitiendo a los atacantes comprometer las contraseñas, claves, identificadores de sesión u otras debilidades y asumir la identidad de otros usuariosSistemas de autenticación elaborados o implantados sin un conocimiento profundo de las necesidades, buscando perfiles de administraciónDependiendo de los privilegios, el atacante puede actuar sobre el sistema de la misma forma que lo haría la víctima
3Secuencias de comandos en sitios cruzados.Inyección de código en páginas web vistas por el usuario evitando medidas de control, usualmente causada al no validar correctamente los datos de entrada usados o no sanear la salida para su presentación.Introducen código HTML peligroso en sitios que lo permitan o modifican valores que la aplicación web utiliza para pasar variablesVector utilizado para robar información delicada, secuestrar sesiones de usuario y comprometer el navegador
4Referencias directas inseguras a objetosPosibilidad de acceder a objetos no autorizados manipulando referencias visibles o utilizables en una aplicaciónPuede ocurrir si no se validan adecuadamente las autorizaciones del usuario respecto de ficheros o datosPermiten a usuarios acceder a informaciones sensibles que no deberían ver.
5Inadecuada configuración de la seguridadSe produce a cualquier nivel de la instalación cuando es posible identificar (y explotar) problemas de actualización y parches no instaladosAprovecha vulnerabilidades conocidas y anunciadas por los fabricantes, cuentas por defecto, páginas en blanco, ficheros no protegidos para tomar controlEl sistema puede quedar completamente comprometido sin que los administradores lo adviertan. Los datos pueden ser extraidos o modificados sin que quede ninguna constancia
¿TE HA GUSTADO EL ARTÍCULO?  COMPÁRTELO Y AYÚDANOS A DIFUNDIRLO
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Más artículos

Novedades de la v8.0 de versiondog

Conoces las novedades de versiondog 8.0? El  8 de Julio presentamos las interesantes novedades de la nueva versión 8.0 de versiondog, el mejor software de

Unitrends Gen 8 Recovery Series

Unitrends Gen 8 Recovery Series Unitrends ha desarrollado una nueva gama de productos con funcionalidades mejoradas. Los dispositivos Recovery Series Gen 8 hacen que las