Top 10 OWASP

articulos
top-10-owasp
0

El OWASP (Proyecto Abierto de Seguridad de Aplicaciones Web) es un proyecto que se encarga de detectar y luchar contra algunos elementos que pueden conseguir hacer inseguro un software. Cada año se corrigen los fallos encontrados pero a su vez se suman unos nuevos. Los errores más importantes los verás en este top 10 OWASP.

Puesto 10: Supervisión y Registros Insuficientes

supervision-y-registros-insuficientes-top-10

Existen muchos factores que facilitan los métodos que usa un atacante. El más común es cuando encuentra un registro insuficiente combinado con  una integración poco eficaz o con una integración inválida. Gracias a estos factores, un atacante puede acceder y manipular los datos a su antojo con mayor facilidad.

Cuando esto sucede, tarda en ser detectado, a veces hasta 200 días. Y lo más curioso es que se detecta debido a señales externas que así lo indican porque de manera interna no se detecta ninguna pista.

Puesto 9: Utilización de Componentes que Pueden Ser Vulnerables

Hay componentes que tienes los mismos privilegios que la aplicación tales como módulos de software, marcos y bibliotecas. Si el atacante encuentra un componente débil se le facilita la labor de controlar el servidor y robar o eliminar datos a su antojo.

Si los componentes que poseen cierta API o aplicación son débiles, será mucho más fácil para los atacantes adueñarse de un sistema, ya que sus ataques tendrán más efecto. Es la novena vulnerabilidad dentro del top 10 OWASP.

Puesto 8: Deserialización No Segura

deserializacion-no-segura-top-10

Cuando la deserialización se realiza de manera no segura, se puede dar acceso de manera fácil a ejecutar códigos de manera remota. En algunas ocasiones no se da acceso a los códigos de manera remota pero sí a otros ataques tales como escalada de privilegio, inyecciones y ataques de reproducción.

Puesto 7: XSS (Secuencias de Comandos Entre Sitios)

Los problemas de XSS son provocados cuando alguna aplicación introduce datos poco seguros en un sitio web nuevo que aún no contiene el escape ni la validación adecuada. También sucede cuando un usuario utiliza una API de JavaScript o HTML para actualizar un sitio web y no se hace del modo correcto.

Estas situaciones permiten que los atacantes puedan formar scripts dentro del navegador de un usuario y así poder secuestrar la sesión que tiene activa. Asimismo, puede redirigir a la persona hacia sitios con software malicioso y llegar a desfigurar por completo un sitio web. Tiene el puesto 7 en el top 10 OWASP.

Puesto 6: Configuraciones de Seguridad Incorrectas

configuraciones-de-seguridad-incorrectas-top-10

Este es uno de los problemas que más se presentan. Las configuraciones de seguridad incorrectas se manifiestan en los almacenamientos de nube abierta, configuraciones predeterminadas que no son seguras, configuraciones que no se completan, mala configuración de encabezados HTTP y mensajes con errores que llevan datos confidenciales.

Por esa razón, es aconsejable establecer de manera segura todas las configuraciones de bibliotecas, sistemas operativos, aplicaciones, ect. Y como protección extra, es recomendable siempre tener las últimas actualizaciones y los parches necesarios.

Top 10 – Puesto 5: Rotura en el Control de Acceso

Cuando el control de acceso se rompe es porque las restricciones que se deben ejecutar a ciertos usuarios no lo hacen del modo adecuado o debido. Al momento de que estas fallas ocurren, los atacantes tratan de aprovecharlas lo mejor posible.

Pueden acceder a datos confidenciales sin autorización, cambiar los datos de acceso, alterar las funciones y en algunos casos logran acceder a las cuentas de otros usuarios. Es una de las vulnerabilidades más peligrosas, por lo que de ir de quinta en el top 10 OWASP

Top 10 – Puesto 4: Entidades Externas XML

entidades-externas-xml-top-10

Cuando un procesador XML se encuentra mal configurado o es muy viejo, evalúa referencias de manera externa utilizando documentos XML. Con esto se pueden generar distintos problemas tales como:

  • Recursos de archivos internos compartidos
  • Ejecución de códigos de manera remota
  • Controlador de archivos URI
  • Ataques de negación de servicio
  • Escaneo de puertos internos

Top 10 – Puesto 3: Exposición de Datos Sensibles

Muchas APIS y sitios web no protegen correctamente datos o archivos que deberían ser confidenciales, tales como las PII, de atención médica y de financiación. Si los atacantes logran acceder a estos datos, pueden utilizarlos para hacer fraudes y cometer otros delitos a nombre de los propietarios de sitios web.

Pueden utilizar los datos de sus tarjetas de crédito e incluso robar su identidad. Este tipo de datos deben ser protegidos con seguridad adicional. Ocupa el puesto 3 en el top 10 OWASP.

Top 10 – Puesto 2: Autenticación Rota

autenticacion-rota-top-10

El problema de autenticación rota ocurre cuando se implementa de manera errónea la administración y la autenticación de una aplicación. Cuando estas funciones fallan, los atacantes tienen la posibilidad de comprometer o robar tokens de sesión, claves y contraseñas. Además de esto, también pueden robar las identidades de los usuarios o tomarlas por un periodo de tiempo indeterminado.

Top 10 – Puesto 1: Inyecciones

Las inyecciones son capaces de provocar fallas y se ejecutan al enviar datos poco confiables a un receptor disfrazado de consulta o un tipo de comando. Cuando los datos son recibidos son interpretados por el receptor. No obstante, dichos datos le piden al sistema que ejecute funciones y comandos no autorizados. Las inyecciones de fallas más comunes son las LDAP, OS, NoSQL y SQL. Este método es el más peligroso por lo que está de primero en el top 10 OWASP.

Pagina de inicio

Continue Reading
You might also like More from author
Leave A Reply

Your email address will not be published.