Lanzado OWASP Top 10 v2013 - RC
Esta semana la organización OWASP (Open Web Application Security Project) ha lanzado la popular listaOWASP Top 10 versión 2013 [PDF] que describe las 10 principales y más importantes vulnerabilidades halladas en sitios web.
El top 10 de OWASP sobre vulnerabilidades en aplicaciones web se basa en información sobre riegos provenientes de 8 firmas especializadas en seguridad de aplicaciones. Se tienen en cuenta alrededor de 500.000 vulnerabilidades alrededor de cientos de organizaciones y miles de aplicaciones.
Si bien la lista aun es una versión RC (Release Candidate), es poco probable que la versión final cambie demasiado por lo que aquí está el nuevo top, comparado con el anterior lanzado en 2010.
Seguramente dentro de muy poco también se podrá descargar la nueva Guia de Testing OWASP v4 pero mientras tanto ya se puede disfrutar su tabla de contenido.
Actualización 12 de junio: se ha lanzado la versión final de OWASP TOP 10.
El top 10 de OWASP sobre vulnerabilidades en aplicaciones web se basa en información sobre riegos provenientes de 8 firmas especializadas en seguridad de aplicaciones. Se tienen en cuenta alrededor de 500.000 vulnerabilidades alrededor de cientos de organizaciones y miles de aplicaciones.
Si bien la lista aun es una versión RC (Release Candidate), es poco probable que la versión final cambie demasiado por lo que aquí está el nuevo top, comparado con el anterior lanzado en 2010.
- A1 - Injection: corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes.
- A2 - Broken Authentication and Session Management (anteriormente 2010-A3): corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación.
- A3 - Cross-Site Scripting (XSS) (anteriormente 2010-A2): ocurre cuando existe validación pobre de la información ingresada por el atacante.
- A4 - Insecure Direct Object References: puede derivar en un acceso no autorizado a información crítica debido a errores en el diseño o desarrollo.
- A5 - Security Misconfiguration (anteriormente 2010-A6): corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación.
- A6 - Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage y 2010-A9 Insufficient Transport Layer Protection formaron 2013-A6): se refiere a la protección incorrecta de datos críticos tales como, por ejemplo, números de tarjetas de crédito, contraseñas, entre otros.
- A7 - Missing Function Level Access Control: corresponde a la falta de controles desde el servidor, permitiendo a un posible atacante acceder a funciones a las que no debería.
- A8 - Cross-Site Request Forgery (CSRF) (anteriormente 2010-A5): permite a un atacante generar peticiones sobre una aplicación vulnerable a partir de la sesión de la víctima.
- A9 - Using Known Vulnerable Components (anteriormente formaba parte de 2010-A6): corresponde a la explotación de librerías, frameworks y otros componentes vulnerables por parte de un atacante con el fin de obtener acceso o combinar con otros ataques.
- A10 - Unvalidated Redirects and Forwards: los atacantes aprovechan el uso de redirecciones de sitios web a otros sitios utilizando información no confiable (untrusted) para redirigir a las víctimas a sitios de phishing o que contienen malware.
Actualización 12 de junio: se ha lanzado la versión final de OWASP TOP 10.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!