Serie de vídeos de Lightboard del Top 10 de OWASP de 2021
Proteja sus aplicaciones web frente a riesgos nuevos y críticos
El OWASP Top 10 es un amplio consenso sobre los riesgos de seguridad más críticos para las aplicações web. La actualización de 2021 brinda orientación para ayudar a proteger las aplicações y arquitecturas web modernas contra exploits, abusos y configuraciones incorrectas, así como recomendaciones para mitigar nuevos riesgos que involucran cadenas de suministro de software, canales de CI/CD y open source software.
Vea la serie de lecciones de Lightboard sobre el Top 10 de OWASP de 2021 en F5 DevCentral para obtener un desglose del nuevo top 10 del OWASP y aprenda:
- Cómo crea OWASP su lista de los 10 riesgos de seguridad más críticos para las aplicaciones web.
- Los cambios clave para 2021, incluida la recategorización del riesgo para alinear los síntomas con las causas fundamentales.
- Cuándo puede manifestarse cada riesgo, por qué es importante y cómo mejorar su postura de seguridad.
El Proyecto de Seguridad de Aplicação Web Abiertas (OWASP) es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software. OWASP mantiene una variedad de proyectos, incluido el documento de concientización estándar sobre los 10 principales riesgos de seguridad de aplicação web para desarrolladores y profesionales de seguridad.
Visión general del Top 10 de OWASP
John comienza explicando qué es el OWASP Top 10. Destaca temas como la reorientación del riesgo en torno a los síntomas y las causas fundamentales, nuevas categorías de riesgo y arquitecturas de aplicação modernas. A continuación se muestra un video sobre cada uno de los 10 riesgos principales.
Los 10 mejores de OWASP 2021: Interrupción del control de acceso
El 94% de las aplicaciones probadas mostraron algún tipo de control de acceso dañado. Las fallas pueden resultar en divulgación, modificación o destrucción no autorizada de datos y escalada de privilegios, y conducir a la apropiación de cuentas (ATO), violación de datos, multas y daño a la marca.
Los 10 mejores de OWASP 2021: Fallos criptográficos
Las fallas criptográficas, anteriormente conocidas como "Exposición de datos confidenciales", provocan la exposición de datos confidenciales y el secuestro de sesiones de usuario. A pesar de la adopción generalizada de TLS 1.3, todavía se siguen habilitando protocolos antiguos y vulnerables.
Los 10 mejores de OWASP 2021: Inyección
La inyección es una clase amplia de vectores de ataque donde la entrada no confiable altera la ejecución del programa de la aplicación. Esto puede provocar el robo de datos, pérdida de integridad de los datos, denegación de servicio y compromiso total del sistema. La inyección ya no es el riesgo principal, pero sigue siendo formidable.
Los 10 mejores de OWASP 2021: Diseño poco seguro
La seguridad debe ser inherente a las aplicações. Un diseño seguro aún puede tener defectos de implementación que conduzcan a vulnerabilidades. Un diseño inseguro no se puede solucionar con una implementación perfecta.
Los 10 mejores de OWASP 2021: Configuración de seguridad defectuosa
La mala configuración de seguridad es una fuente importante de violaciones de la nube. Aprenda qué hacer y qué evitar, ya que el desarrollo de aplicaciones modernas, la reutilización de software y la expansión arquitectónica en las nubes aumentan este riesgo.
Los 10 mejores de OWASP 2021: Componentes vulnerables y obsoletos
Detrás de muchos de los mayores incidentes de seguridad se encuentran las vulnerabilidades del open source software . La reciente vulnerabilidad Log4j2 es quizás el riesgo más grave en esta categoría hasta la fecha.
Los 10 mejores de OWASP 2021: Fallos de identificación y autentificación
Es fundamental confirmar la identidad y utilizar una autenticación sólida y gestión de sesiones para protegerse contra el abuso de la lógica empresarial. La mayoría de los ataques de autenticación se deben al uso continuo de contraseñas. Las credenciales comprometidas, las redes de bots y las herramientas sofisticadas proporcionan un retorno de la inversión atractivo para ataques automatizados como el credential stuffing.
Los 10 mejores de OWASP 2021: Fallos en el software y en la integridad de los datos
Esta nueva categoría de riesgo se centra en realizar suposiciones relacionadas con actualizaciones de software, datos críticos y procesos de CI/CD sin verificar la integridad. El ataque a la cadena de suministro de SolarWinds es uno de los más dañinos que hemos visto.
Los 10 mejores de OWASP 2021: Fallos en el acceso y la supervisión de la seguridad
Sin registrar y monitorear adecuadamente las actividades de las aplicaciones, no se pueden detectar las infracciones. No hacerlo afecta directamente la visibilidad, las alertas de incidentes y el análisis forense. Cuanto más tiempo pase sin ser detectado un atacante, más probabilidades hay de que el sistema se vea comprometido.
Los 10 mejores de OWASP 2021: Falsificador de solicitudes del lado del servidor
Las fallas de SSRF ocurren cuando una aplicación web obtiene un recurso remoto sin validar la URL proporcionada por el usuario. Los atacantes pueden obligar a la aplicación a enviar una solicitud a un destino inesperado, incluso si está protegida por un firewall, una VPN u otra lista de control de acceso a la red (ACL).