¿Qué es OWASP?
OWASP (Open Web Application Security Project) es un proyecto open source dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos trabajan para crear metodologías, documentación, herramientas y tecnologías que pueden ser usadas gratuitamente.
Una de las principales aportaciones de OWASP es el Top Ten, donde presenta un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web, actualizado en 2017.
Los Top 10 riesgos de seguridad de las aplicaciones web
A1-Inyección: Las fallas de inyección, como SQL, NoSQL, OS y LDAP, ocurren cuando se envían datos que no son de confianza a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a los datos sin la debida autorización.
A2-Autenticación rota: Las funciones de la aplicación relacionadas con la autenticación y la administración de sesiones a menudo se implementan de manera incorrecta, lo que permite a los atacantes comprometer contraseñas, claves o tokens de sesión, o aprovechar otras fallas de implementación para asumir las identidades de otros usuarios de forma temporal o permanente.
A3-Exposición de datos confidenciales: muchas aplicaciones web y API no protegen adecuadamente los datos confidenciales, como los financieros, la atención médica y los PII (Personal Identifiable Information). Los atacantes pueden robar o modificar esos datos débilmente protegidos para cometer fraude con tarjetas de crédito, robo de identidad u otros delitos.
– Pruebas de Seguridad a Aplicaciones (AST)
A4: XML Entidades externas XML (XXE): Muchos procesadores XML antiguos o mal configurados evalúan las referencias de entidades externas dentro de los documentos XML. Las entidades externas se pueden utilizar para divulgar archivos internos mediante el controlador de URI de archivos, recursos compartidos de archivos internos, escaneo de puertos internos, ejecución remota de código y ataques de denegación de servicio.
A5: Control de acceso roto: Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente. Los atacantes pueden aprovechar estas fallas para acceder a funciones y / o datos no autorizados, como acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso, etc.
A6: Configuración incorrecta de seguridad: La configuración incorrecta de seguridad es el problema más común. Esto suele ser el resultado de configuraciones predeterminadas inseguras, configuraciones incompletas o ad hoc, almacenamiento en la nube abierta, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo todos los sistemas operativos, marcos, bibliotecas y aplicaciones deben configurarse de forma segura, sino que también deben actualizarse o actualizarse de manera oportuna.
A7: Cross-Site Scripting XSS: Las fallas XSS ocurren cada vez que una aplicación incluye datos que no son de confianza en una nueva página web sin la validación o el escape adecuados. XSS permite a los atacantes ejecutar scripts en el navegador de la víctima que pueden secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos.
– Detección de vulnerabilidades Quick Scan
A8: Deserialización insegura: La deserialización insegura a menudo conduce a la ejecución remota de código. Incluso si las fallas de deserialización no dan como resultado la ejecución remota de código, se pueden usar para realizar ataques, incluidos ataques de replay, ataques de inyección y ataques de escalada de privilegios.
A9: Uso de componentes con vulnerabilidades conocidas: Los componentes, como bibliotecas, frameworks y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, dicho ataque puede facilitar la pérdida de datos o la toma de control del servidor. Las aplicaciones y APIs que utilizan componentes con vulnerabilidades conocidas pueden socavar las defensas de las aplicaciones y permitir varios ataques e impactos.
A10: Registro y monitoreo insuficientes: El registro (logging) y monitoreo insuficientes, junto con la falta de integración o la integración ineficaz con la respuesta a incidentes, permite a los atacantes atacar aún más los sistemas, mantener la persistencia, moverse a más sistemas y manipular, extraer o destruir datos. La mayoría de estudios sobre breachs muestran que el tiempo para detectar un breach es de más de 200 días.
Más sobre OWASP en este enlace.
Contáctanos para conversar sobre Web Application Security.
Cyberseguridad Solutions © 2021