Icono del sitio MTP

OWASP Top 10 2021, un proyecto que alerta sobre los principales riesgos de seguridad en aplicaciones

 

OWASP es una organización sin ánimo de lucro que ayuda con la seguridad de las aplicaciones. Está formada por empresas, organizaciones, fabricantes de seguridad y particulares que aportan sus conocimientos para poder generar artículos, metodologías, documentación, herramientas y tecnologías que son liberadas para ayudar al resto de los usuarios a implementar seguridad en sus aplicaciones.

Desde esta organización, que tiene una trayectoria de más de 20 años, se genera un proyecto de referencia, Owasp Top 10. Este proyecto expone los diez principales riesgos de seguridad en aplicaciones que se deben de tener en cuenta, y se actualiza cada tres o cuatro años por los propios expertos de la comunidad de OWASP.

En esta ocasión se ha actualizado hace unos meses a la versión 2021 desde la versión de 2017 con los siguientes cambios más relevantes:

Se puede comprobar que a alguna categoría se le ha dado más o menos importancia en la clasificación, que algunas se han fusionado con otras o, incluso, se han creado nuevas categorías debido al auge de algunas tendencias que se han producido en los últimos tiempos.

Para garantizar que las aplicaciones web minimicen sus riesgos en todas las organizaciones, el uso de OWASP Top 10 debe ser el marco de referencia para comenzar a resolver los principales problemas de seguridad de las mismas.

A continuación, vamos a hacer un repaso de los diez riesgos de seguridad de la nueva lista Owasp Top 10 2021 comentada:

A1 – Ausencia de Control de Acceso:

La mayoría de las aplicaciones web verifican los derechos de acceso a nivel de función antes de hacerlo visible en la misma interfaz de usuario. A pesar de esto, las aplicaciones necesitan verificar el control de acceso en el servidor cuando se accede a cada función. Si las solicitudes de acceso no se verifican, los atacantes podrán realizar peticiones sin la autorización apropiada.

A2 – Errores criptográficos

Los fallos relacionados con la criptografía que a menudo conducen a la exposición de datos sensibles (muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación) o al compromiso del sistema.

A3 – Inyección

Los fallos de inyección, ocurridos en SQL, XSS, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete al ejecutar comandos no intencionados o acceder datos no autorizados.

A4 – Diseño inseguro

Esta categoría posee un enfoque en los riesgos relacionados con los defectos de diseño. Si realmente queremos ‘movernos a la izquierda’ como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia.

A5 – Configuración de Seguridad Incorrecta

Una buena seguridad requiere tener definida e implementada una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos, y plataforma. Todas estas configuraciones deben ser definidas, implementadas y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librerías de código utilizadas por la aplicación.

A6 – Componentes Vulnerables y Obsoletos

Algunos componentes tales como las librerías, los Frameworks y otros módulos de software casi siempre funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podría facilitar la intrusión en el servidor o una pérdida seria de datos. Las aplicaciones que utilicen componentes con vulnerabilidades conocidas debilitan las defensas de la aplicación y permiten ampliar el rango de posibles ataques e impactos

A7 – Fallos de identificación y autenticación

Se debe de prestar mucha atención a como se realiza la confirmación de la identidad, la autenticación y la administración de sesiones del usuario ya que es fundamental para proteger contra los ataques relacionados con la autenticación.

A8 – Fallos de integridad del software y los datos

Las fallos en la integridad del software y los datos se relacionan con el código y la infraestructura que no protegen contra las violaciones de la integridad. Un ejemplo de esto es cuando una aplicación se basa en complementos, bibliotecas o módulos de fuentes, repositorios y redes de entrega de contenido (CDN) que no son de confianza.

A9 – Fallos en el registro y la supervisión de la seguridad

Esta categoría es para ayudar a detectar, escalar y responder a los incidentes de seguridad que se producen. Sin registro y monitoreo, los incidentes no se pueden detectar. En cualquier momento se produce un registro, detección, supervisión y respuesta activa insuficientes

A10 – Server-Side Request Forgery

Los fallos de Server-Side Request Forgery (SSRF) ocurren cuando una aplicación web está obteniendo un recurso remoto sin validar la URL proporcionada por el usuario. Permite que un atacante coaccione a la aplicación para que envíe una solicitud diseñada al efecto a un destino distinto del esperado.

Como se decía anteriormente, estos son los diez principales riesgos, pero no los únicos. OWASP tiene mucho más proyectos dedicados a proteger las aplicaciones: por ejemplo, uno dedicado a las verificaciones de seguridad (OWASP Application Security Verification Standard), y otro referente a las pruebas de seguridad (OWASP Web Security Testing Guide) entre otros. Todos ellos, unidos, trasladan a las organizaciones unos estándares y unas metodologías para que los niveles de seguridad en sus aplicaciones sean óptimos.

 

Fernando Saavedra

Manager de Ciberseguridad MTP

Salir de la versión móvil