El OWASP Top 10 es un documento de concienciación estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web.
Las empresas deben adoptar este documento y comenzar el proceso de garantizar que sus aplicaciones web minimicen estos riesgos.
Usar OWASP Top 10 es quizás el primer paso más efectivo para cambiar la cultura de desarrollo de software dentro de su organización a una que produzca código más seguro.
10 principales riesgos de seguridad de las aplicaciones web
Hay tres categorías nuevas, cuatro categorías con cambios de nombre y alcance, y cierta consolidación en el Top 10 para 2021.
Las empresas deben adoptar este documento y comenzar el proceso de garantizar que sus aplicaciones web minimicen estos riesgos.
Usar OWASP Top 10 es quizás el primer paso más efectivo para cambiar la cultura de desarrollo de software dentro de su organización a una que produzca código más seguro.
El control de acceso roto se mueve hacia arriba desde la quinta posición. El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto.
Las 34 enumeraciones de debilidades comunes (CWE) asignadas al control de acceso roto tuvieron más ocurrencias en las aplicaciones que cualquier otra categoría.
Las fallas criptográficas suben una posición al n. ° 2, anteriormente conocido como exposición de datos confidenciales, que era un síntoma general en lugar de una causa raíz.
El enfoque renovado aquí está en las fallas relacionadas con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.
Las inyecciones bajan hasta la tercera posición de relevancia. El 94 % de las aplicaciones se probaron para detectar algún tipo de inyección y los 33 CWE asignados a esta categoría tienen la segunda mayor cantidad de casos en las aplicaciones.
Cross-site Scripting ahora es parte de esta categoría en esta edición.
El diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con fallas de diseño.
Si realmente queremos “mover a la izquierda” como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia.
LA configuración de seguridad incorrecta sube del n. ° 6 en la edición anterior; El 90 % de las aplicaciones se probaron para detectar algún tipo de error de configuración.
Con más cambios hacia software altamente configurable, no sorprende ver que esta categoría sube. La categoría anterior para entidades externas XML (XXE) ahora forma parte de esta categoría.
Los componentes vulnerables y desactualizados se mencionaban antes como “uso de componentes con vulnerabilidades conocidas” y ocupaba el segundo lugar en la encuesta de la comunidad Top 10, pero también tenía suficientes datos para llegar al Top 10 a través del análisis de datos.
Esa categoría sube del puesto 9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo.
Es la única categoría que no tiene vulnerabilidades y exposiciones comunes (CVE) asignadas a los CWE incluidos, por lo que en sus puntajes se tienen en cuenta un exploit predeterminado y pesos de impacto de 5.0.
Las fallas de identificación y autenticación anteriormente eran la autenticación rota y se están deslizando hacia abajo desde la segunda posición, y ahora incluyen CWE que están más relacionadas con fallas de identificación.
Esta categoría sigue siendo una parte integral del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
A07: Las fallas de autenticación e identificación (by OWASP)
Las fallas de integridad de datos y software son una nueva categoría para 2021, que se enfoca en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la integridad.
Uno de los impactos ponderados más altos de los datos de Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) asignados a los 10 CWE en esta categoría.
La deserialización insegura de 2017 ahora forma parte de esta categoría más amplia.
Las fallas de registro y monitoreo de seguridad conocidas anteriormente eran registro y monitoreo insuficientes y se agregaron de la encuesta de la industria (n. ° 3), subiendo del n. ° 10 anterior.
Esta categoría se expande para incluir más tipos de fallas, es difícil de probar y no está bien representada en los datos de CVE/CVSS. Sin embargo, las fallas en esta categoría pueden afectar directamente la visibilidad, las alertas de incidentes y el análisis forense.
A09: Fallas en el registro y el monitoreo de seguridad (by OWASP)
La falsificación de solicitudes del lado del servidor se agregó de la encuesta de la comunidad Top 10 (# 1).
Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media para el potencial de Explotación e Impacto.
Esta categoría representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no se ilustra en los datos en este momento.
A10: Falsificación de solicitud del lado del servidor (by OWASP)
Extra: A11 – Próximos pasos
Aquí se incluye las siguientes ramificaciones en las que OWASP se está centrando por analizar e incluir como un factor de relevancia más.
Relacionado
Como una de las estructuras de control básicas en la programación, los bucles son casi una adición diaria al código que escribimos. El bucle forEach clásico es uno de los primeros fragmentos de código que aprendemos a escribir como programadores. Si fueras un desarrollador de Javascript, sabrías que Javascript no es ajeno a la iteración a través de los elementos de una matriz o un mapa ¡SEGUIR LEYENDO!
Como sabemos, Sci-hub es un sitio web increíble con millones de artículos de investigación para todos los estudiantes universitarios y académicos. El sitio web de Sci-Hub se encarga de obtener los artículos de investigación y artículos de pago utilizando las credenciales que se filtran. La fuente de credenciales utilizada por este sitio web no está clara. Sin embargo, se supone que muchas de ellas son donadas, ¡SEGUIR LEYENDO!
Aunque haya sido usuario de Windows durante décadas, el sistema operativo es tan amplio y complejo que siempre existen características útiles, pero menos conocidas, que podrían sorprenderte. En este sentido, he identificado diez funciones poco conocidas de Windows que pueden potenciar su eficiencia, comodidad e incluso su experiencia de uso lúdico en su PC.
- Procesador Dual-Core Intel Pentium Gold 4425Y (2...
- Memoria RAM de 8 GB LPDDR3
- Disco SSD de 128 GB
El rumor en torno a las criptomonedas no se desvanece por mucho que existan grandes pesimistas alrededor de los malos rumores. Entonces, si consideras invertir en el mundo de las criptomonedas, deberías estar atento a las criptomonedas que se espera que tengan un buen desempeño para el resto de 2021. En los últimos tiempos, los tokens DeFi están recibiendo toda la atención y es más que ¡SEGUIR LEYENDO!
Los cambios de paradigma revolucionarios debido a los desarrollos de la robótica en todo el mundo están generando nuevos puntos de vista en muchos sectores, entre ellos en los de la industria y la tecnología. Con la ayuda de la Inteligencia Artificial, la tecnología produce resultados innovadores cada segundo y el campo de la robótica define y reconfigura su uso a cada instante. Cada día que ¡SEGUIR LEYENDO!
Bienvenidos desarrolladores web y de software, estamos en los inicios de 2023 y es posible que muchos se esten planteado sus objetivos para lo largo del año. Con anterioridad ya he compartidos las rutas de aprendizaje para un desarrollador front-end, un desarrollador full-stack o un desarrollador back-end entre otros muchos contenidos más. En este artículo, me gustaría compartir algunos de los mejores frameworks y bibliotecas para ¡SEGUIR LEYENDO!
GitHub es el lugar que debes buscar cuando intentas mejorar como desarrollador, toda la información que necesitas está disponible en algún repositorio que alguien ya se ha molestado en indexar. Sin embargo, la parte complicado es encontrar el repositorio más adecuado. Es fácil sentirse perdido en todos los repositorios disponibles dentro de GitHub. Para ayudarte, he elaborado una lista de 10 repositorios de GitHub que pueden ¡SEGUIR LEYENDO!