El OWASP Top 10 es un documento de concienciación estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web.
Las empresas deben adoptar este documento y comenzar el proceso de garantizar que sus aplicaciones web minimicen estos riesgos.
Usar OWASP Top 10 es quizás el primer paso más efectivo para cambiar la cultura de desarrollo de software dentro de su organización a una que produzca código más seguro.
10 principales riesgos de seguridad de las aplicaciones web
Hay tres categorías nuevas, cuatro categorías con cambios de nombre y alcance, y cierta consolidación en el Top 10 para 2021.
Las empresas deben adoptar este documento y comenzar el proceso de garantizar que sus aplicaciones web minimicen estos riesgos.
Usar OWASP Top 10 es quizás el primer paso más efectivo para cambiar la cultura de desarrollo de software dentro de su organización a una que produzca código más seguro.
El control de acceso roto se mueve hacia arriba desde la quinta posición. El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto.
Las 34 enumeraciones de debilidades comunes (CWE) asignadas al control de acceso roto tuvieron más ocurrencias en las aplicaciones que cualquier otra categoría.
Las fallas criptográficas suben una posición al n. ° 2, anteriormente conocido como exposición de datos confidenciales, que era un síntoma general en lugar de una causa raíz.
El enfoque renovado aquí está en las fallas relacionadas con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.
Las inyecciones bajan hasta la tercera posición de relevancia. El 94 % de las aplicaciones se probaron para detectar algún tipo de inyección y los 33 CWE asignados a esta categoría tienen la segunda mayor cantidad de casos en las aplicaciones.
Cross-site Scripting ahora es parte de esta categoría en esta edición.
El diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con fallas de diseño.
Si realmente queremos “mover a la izquierda” como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia.
LA configuración de seguridad incorrecta sube del n. ° 6 en la edición anterior; El 90 % de las aplicaciones se probaron para detectar algún tipo de error de configuración.
Con más cambios hacia software altamente configurable, no sorprende ver que esta categoría sube. La categoría anterior para entidades externas XML (XXE) ahora forma parte de esta categoría.
Los componentes vulnerables y desactualizados se mencionaban antes como “uso de componentes con vulnerabilidades conocidas” y ocupaba el segundo lugar en la encuesta de la comunidad Top 10, pero también tenía suficientes datos para llegar al Top 10 a través del análisis de datos.
Esa categoría sube del puesto 9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo.
Es la única categoría que no tiene vulnerabilidades y exposiciones comunes (CVE) asignadas a los CWE incluidos, por lo que en sus puntajes se tienen en cuenta un exploit predeterminado y pesos de impacto de 5.0.
Las fallas de identificación y autenticación anteriormente eran la autenticación rota y se están deslizando hacia abajo desde la segunda posición, y ahora incluyen CWE que están más relacionadas con fallas de identificación.
Esta categoría sigue siendo una parte integral del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
A07: Las fallas de autenticación e identificación (by OWASP)
Las fallas de integridad de datos y software son una nueva categoría para 2021, que se enfoca en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la integridad.
Uno de los impactos ponderados más altos de los datos de Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) asignados a los 10 CWE en esta categoría.
La deserialización insegura de 2017 ahora forma parte de esta categoría más amplia.
Las fallas de registro y monitoreo de seguridad conocidas anteriormente eran registro y monitoreo insuficientes y se agregaron de la encuesta de la industria (n. ° 3), subiendo del n. ° 10 anterior.
Esta categoría se expande para incluir más tipos de fallas, es difícil de probar y no está bien representada en los datos de CVE/CVSS. Sin embargo, las fallas en esta categoría pueden afectar directamente la visibilidad, las alertas de incidentes y el análisis forense.
A09: Fallas en el registro y el monitoreo de seguridad (by OWASP)
La falsificación de solicitudes del lado del servidor se agregó de la encuesta de la comunidad Top 10 (# 1).
Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media para el potencial de Explotación e Impacto.
Esta categoría representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no se ilustra en los datos en este momento.
A10: Falsificación de solicitud del lado del servidor (by OWASP)
Extra: A11 – Próximos pasos
Aquí se incluye las siguientes ramificaciones en las que OWASP se está centrando por analizar e incluir como un factor de relevancia más.