Ver y aprender

Serie de vídeos de Top 10 de OWASP de 2021

Proteja sus aplicaciones web frente a riesgos nuevos y críticos

El Top 10 de OWASP es un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web. La actualización de 2021 ofrece una guía para ayudar a proteger las aplicaciones y arquitecturas web modernas frente a exploits, abusos y errores de configuración, así como recomendaciones para mitigar los nuevos riesgos que implican las cadenas de suministro de software, los conductos de CI/CD y el software de código abierto.

Vea la serie de lecciones de Lightboard sobre el Top 10 de OWASP de 2021 en F5 DevCentral para obtener un desglose del nuevo top 10 del OWASP y aprenda:

  • Cómo crea OWASP su lista de los 10 riesgos de seguridad más críticos para las aplicaciones web.
  • Los cambios clave para 2021, incluida la recategorización del riesgo para alinear los síntomas con las causas fundamentales.
  • Cuándo puede manifestarse cada riesgo, por qué es importante y cómo mejorar su postura de seguridad.

El Open Web Application Security Project (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. OWASP mantiene diferentes proyectos, incluyendo el documento de concienciación estándar de los 10 principales riesgos de seguridad de las aplicaciones web para desarrolladores y profesionales de la seguridad.

Visión general del Top 10 de OWASP

Visión general del Top 10 de OWASP

John comienza explicando qué es el Top 10 de OWASP. Destaca temas como la reorientación de los riesgos en torno a los síntomas y las causas raíz, las nuevas categorías de riesgos y las arquitecturas de aplicaciones modernas. Siga el vídeo sobre cada uno de los 10 principales riesgos.


Top 10 de OWASP de 2021: Interrupción del control de acceso

El 94 % de las aplicaciones probadas mostraba algún tipo de interrupción en el control de acceso. Los fallos pueden dar lugar a la divulgación no autorizada, la modificación o la destrucción de datos, así como a la escalada de privilegios, y conducir a ataques de apropiación de cuentas (ATO), violaciones de la privacidad de los datos, multas y daños a la marca.


Top 10 de OWASP de 2021: Fallos criptográficos

Los fallos criptográficos, antes conocidos como "exposición de datos sensibles", conducen a la exposición de datos sensibles y al secuestro de sesiones de usuario. A pesar de la adopción generalizada de TLS 1.3, se siguen habilitando protocolos antiguos y vulnerables.


Top 10 de OWASP de 2021: Inyección

La inyección es una amplia clase de vectores de ataque donde la introducción de código no fiable altera la ejecución del programa de la aplicación. Esto puede conducir al robo de datos, la pérdida de la integridad de los datos, la denegación de servicios y el compromiso total del sistema. La inyección ya no es el principal riesgo, pero sigue siendo importante.


Top 10 de OWASP de 2021: Diseño poco seguro

La seguridad debe ser inherente a las aplicaciones. Incluso un diseño seguro puede tener defectos de implementación que den lugar a vulnerabilidades. Un diseño poco seguro no puede corregirse con una implementación perfecta.


Top 10 de OWASP de 2021: Configuración de seguridad defectuosa

La configuración defectuosa de la seguridad es una de las principales causas de las infracciones en la nube. Aprenda lo que debe hacer y evitar, ya que el desarrollo moderno de aplicaciones, la reutilización de software y la dispersión arquitectónica entre nubes aumentan este riesgo.


Top 10 de OWASP de 2021: Componentes vulnerables y obsoletos

Los exploits de software de código abierto están detrás de muchos de los mayores incidentes de seguridad. La reciente vulnerabilidad Log4j2 es quizás el riesgo más grave en esta categoría hasta la fecha.


Top 10 de OWASP de 2021: Errores de identificación y autenticación

Es fundamental confirmar la identidad y utilizar una autenticación y una gestión de sesiones sólidas para protegerse del abuso de la lógica empresarial. La mayoría de los ataques de autenticación tienen su origen en el uso continuado de contraseñas. Las credenciales comprometidas, las redes de bots y las herramientas sofisticadas proporcionan un atractivo retorno de la inversión para los ataques automatizados, como el relleno de credenciales.


Top 10 de OWASP de 2021: Fallos en la integridad del software y los datos

Esta nueva categoría de riesgo se centra en hacer suposiciones relacionadas con las actualizaciones de software, los datos críticos y los conductos de CI/CD sin verificar la integridad. El ataque a la cadena de suministro de SolarWinds es uno de los más dañinos que hemos visto.


Top 10 de OWASP de 2021: Fallos en el registro y la supervisión de la seguridad

Si no se registran y supervisan adecuadamente las actividades de las aplicaciones, no es posible detectar las infracciones. No hacerlo tiene un impacto directo en la visibilidad, la alerta de incidentes y los análisis forenses. Cuanto más tiempo pase un atacante sin ser detectado, más probable será que el sistema se vea comprometido.


Top 10 de OWASP de 2021: Falsificación de solicitudes del lado del servidor

Los fallos de SSRF se producen cuando una aplicación web obtiene un recurso remoto sin validar la URL proporcionada por el usuario. Los atacantes pueden obligar a la aplicación a enviar una solicitud a un destino inesperado, incluso aunque esté protegida por un cortafuegos, una VPN u otra lista de control de acceso a la red (ACL).