2021 OWASP Top 10 Video Series

John comienza explicando qué es el Top 10 de OWASP. Destaca temas como la reorientación de los riesgos en torno a los síntomas y las causas raíz, las nuevas categorías de riesgos y las arquitecturas de aplicaciones modernas. Siga el vídeo sobre cada uno de los 10 principales riesgos.

El 94 % de las aplicaciones probadas mostraba algún tipo de interrupción en el control de acceso. Los fallos pueden dar lugar a la divulgación no autorizada, la modificación o la destrucción de datos, así como a la escalada de privilegios, y conducir a ataques de apropiación de cuentas (ATO), violaciones de la privacidad de los datos, multas y daños a la marca.

Los fallos criptográficos, antes conocidos como "exposición de datos sensibles", conducen a la exposición de datos sensibles y al secuestro de sesiones de usuario. A pesar de la adopción generalizada de TLS 1.3, se siguen habilitando protocolos antiguos y vulnerables.

La inyección es una amplia clase de vectores de ataque donde la introducción de código no fiable altera la ejecución del programa de la aplicación. Esto puede conducir al robo de datos, la pérdida de la integridad de los datos, la denegación de servicios y el compromiso total del sistema. La inyección ya no es el principal riesgo, pero sigue siendo importante.

La seguridad debe ser inherente a las aplicaciones. Incluso un diseño seguro puede tener defectos de implementación que den lugar a vulnerabilidades. Un diseño poco seguro no puede corregirse con una implementación perfecta.

La configuración defectuosa de la seguridad es una de las principales causas de las infracciones en la nube. Aprenda lo que debe hacer y evitar, ya que el desarrollo moderno de aplicaciones, la reutilización de software y la dispersión arquitectónica entre nubes aumentan este riesgo.

Los exploits de software de código abierto están detrás de muchos de los mayores incidentes de seguridad. La reciente vulnerabilidad Log4j2 es quizás el riesgo más grave en esta categoría hasta la fecha.

Es fundamental confirmar la identidad y utilizar una autenticación y una gestión de sesiones sólidas para protegerse del abuso de la lógica empresarial. La mayoría de los ataques de autenticación tienen su origen en el uso continuado de contraseñas. Las credenciales comprometidas, las redes de bots y las herramientas sofisticadas proporcionan un atractivo retorno de la inversión para los ataques automatizados, como el credential stuffing.

Esta nueva categoría de riesgo se centra en hacer suposiciones relacionadas con las actualizaciones de software, los datos críticos y los conductos de CI/CD sin verificar la integridad. El ataque a la cadena de suministro de SolarWinds es uno de los más dañinos que hemos visto.