El Top 10 de OWASP es un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web. La actualización de 2021 ofrece una guía para ayudar a proteger las aplicaciones y arquitecturas web modernas frente a exploits, abusos y errores de configuración, así como recomendaciones para mitigar los nuevos riesgos que implican las cadenas de suministro de software, los conductos de CI/CD y el software de código abierto.
Vea la serie de lecciones de Lightboard sobre el Top 10 de OWASP de 2021 en F5 DevCentral para obtener un desglose del nuevo top 10 del OWASP y aprenda:
El Open Web Application Security Project (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. OWASP mantiene diferentes proyectos, incluyendo el documento de concienciación estándar de los 10 principales riesgos de seguridad de las aplicaciones web para desarrolladores y profesionales de la seguridad.
John comienza explicando qué es el Top 10 de OWASP. Destaca temas como la reorientación de los riesgos en torno a los síntomas y las causas raíz, las nuevas categorías de riesgos y las arquitecturas de aplicaciones modernas. Siga el vídeo sobre cada uno de los 10 principales riesgos.
El 94 % de las aplicaciones probadas mostraba algún tipo de interrupción en el control de acceso. Los fallos pueden dar lugar a la divulgación no autorizada, la modificación o la destrucción de datos, así como a la escalada de privilegios, y conducir a ataques de apropiación de cuentas (ATO), violaciones de la privacidad de los datos, multas y daños a la marca.
Los fallos criptográficos, antes conocidos como "exposición de datos sensibles", conducen a la exposición de datos sensibles y al secuestro de sesiones de usuario. A pesar de la adopción generalizada de TLS 1.3, se siguen habilitando protocolos antiguos y vulnerables.
La inyección es una amplia clase de vectores de ataque donde la introducción de código no fiable altera la ejecución del programa de la aplicación. Esto puede conducir al robo de datos, la pérdida de la integridad de los datos, la denegación de servicios y el compromiso total del sistema. La inyección ya no es el principal riesgo, pero sigue siendo importante.
La configuración defectuosa de la seguridad es una de las principales causas de las infracciones en la nube. Aprenda lo que debe hacer y evitar, ya que el desarrollo moderno de aplicaciones, la reutilización de software y la dispersión arquitectónica entre nubes aumentan este riesgo.
Es fundamental confirmar la identidad y utilizar una autenticación y una gestión de sesiones sólidas para protegerse del abuso de la lógica empresarial. La mayoría de los ataques de autenticación tienen su origen en el uso continuado de contraseñas. Las credenciales comprometidas, las redes de bots y las herramientas sofisticadas proporcionan un atractivo retorno de la inversión para los ataques automatizados, como el relleno de credenciales.
Esta nueva categoría de riesgo se centra en hacer suposiciones relacionadas con las actualizaciones de software, los datos críticos y los conductos de CI/CD sin verificar la integridad. El ataque a la cadena de suministro de SolarWinds es uno de los más dañinos que hemos visto.
Si no se registran y supervisan adecuadamente las actividades de las aplicaciones, no es posible detectar las infracciones. No hacerlo tiene un impacto directo en la visibilidad, la alerta de incidentes y los análisis forenses. Cuanto más tiempo pase un atacante sin ser detectado, más probable será que el sistema se vea comprometido.
Los fallos de SSRF se producen cuando una aplicación web obtiene un recurso remoto sin validar la URL proporcionada por el usuario. Los atacantes pueden obligar a la aplicación a enviar una solicitud a un destino inesperado, incluso aunque esté protegida por un cortafuegos, una VPN u otra lista de control de acceso a la red (ACL).