Inicio

TOP 10: Vulnerabilidades de Aplicaciones Web 2010

Lun, 24 de Mayo del 2010 by shadowjah   Tags:

OWASP 2010 - Top 10 Vulnerabilities
OWASP 2010 - Top 10 Vulnerabilities

OWASP acrónimo de Proyecto de Seguridad de Aplicaciones Web Abiertas, en inglés Open Web Application Security Project, es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

OWASP es un organismo sin ánimo de lucro que entre sus principales proyectos se encuentra el OWASP Top 10, un documento de alto nivel que presenta sobre las vulnerabilidades más críticas de las aplicaciones web.

El TOP 10 de OWASP es un conjunto de vulnerabilidades de muy alto riesgo. Están disponibles como una herramienta que los desarrolladores de aplicaciones pueden utilizar para juzgar si su aplicación se ajusta a las mejores prácticas, en función de si cuenta o no con protección a los siguientes 10 items:

TOP 10 por OWASP:

  • A1: Injection
  • A2: Cross-Site Scripting (XSS)
  • A3: Broken Authentication and Session Management
  • A4: Insecure Direct Object References
  • A5: Cross-Site Request Forgery (CSRF)
  • A6: Security Misconfiguration
  • A7: Insecure Cryptographic Storage
  • A8: Failure to Restrict URL Access
  • A9: Insufficient Transport Layer Protection
  • A10: Unvalidated Redirects and Forwards

La comunidad OWASP lanza una nueva versión cada pocos años a medida que cambia la seguridad mundial. Para el 2010 se está trabajando para asegurarse de que la gente comprenda de que esto no es solo una lista de 10 items, sino que además están ordenados por el riesgo [probabilidad de riesgo en tiempo tiempos de exposición]. Su sentencia de riesgo es general, por lo que una aplicación específica o un sitio puede terminar con TOP 10 diferente.

El marco de riesgo que están utilizando es en base al rango de vulnerabilidades de acuerdo a cuatro características:

  • Vector de ataque: dificultad de explotar la vulnerabilidad [XSS e inyecciones SQL son a menudo más dificiles que CSRF].
  • Prevalencia: que tan común es la vulnerabilidad.
  • Detección: lo fácil que es para un atacante encontrar sitios vulnerables.
  • Impácto técnico: que tanto será afectado un sitio o un negocio si posee dicha vulnerabilidad.

Recursos para hacer frente a la OWASP Top 10

Wichers Dave, pondrá información a disposición de los capítulos locales de OWASP para que estos puedan revisarlos y proporcionar cheat sheets de prevención para el TOP 10:

Comparación con versión anterior del Top 10:

OWASP Top 10 2007 vs Top 10 2010
OWASP Top 10 2007 vs Top 10 2010

Trackback URL for this post:

http://shadowjah.com/trackback/34
»