John comienza explicando qué es el Top 10 de OWASP. Destaca temas como la reorientación de los riesgos en torno a los síntomas y las causas raíz, las nuevas categorías de riesgos y las arquitecturas de aplicaciones modernas. Siga el vídeo sobre cada uno de los 10 principales riesgos.
El 94 % de las aplicaciones probadas mostraba algún tipo de interrupción en el control de acceso. Los fallos pueden dar lugar a la divulgación no autorizada, la modificación o la destrucción de datos, así como a la escalada de privilegios, y conducir a ataques de apropiación de cuentas (ATO), violaciones de la privacidad de los datos, multas y daños a la marca.
Los fallos criptográficos, antes conocidos como "exposición de datos sensibles", conducen a la exposición de datos sensibles y al secuestro de sesiones de usuario. A pesar de la adopción generalizada de TLS 1.3, se siguen habilitando protocolos antiguos y vulnerables.
La inyección es una amplia clase de vectores de ataque donde la introducción de código no fiable altera la ejecución del programa de la aplicación. Esto puede conducir al robo de datos, la pérdida de la integridad de los datos, la denegación de servicios y el compromiso total del sistema. La inyección ya no es el principal riesgo, pero sigue siendo importante.
La configuración defectuosa de la seguridad es una de las principales causas de las infracciones en la nube. Aprenda lo que debe hacer y evitar, ya que el desarrollo moderno de aplicaciones, la reutilización de software y la dispersión arquitectónica entre nubes aumentan este riesgo.
Es fundamental confirmar la identidad y utilizar una autenticación y una gestión de sesiones sólidas para protegerse del abuso de la lógica empresarial. La mayoría de los ataques de autenticación tienen su origen en el uso continuado de contraseñas. Las credenciales comprometidas, las redes de bots y las herramientas sofisticadas proporcionan un atractivo retorno de la inversión para los ataques automatizados, como el credential stuffing.
Esta nueva categoría de riesgo se centra en hacer suposiciones relacionadas con las actualizaciones de software, los datos críticos y los conductos de CI/CD sin verificar la integridad. El ataque a la cadena de suministro de SolarWinds es uno de los más dañinos que hemos visto.
Si no se registran y supervisan adecuadamente las actividades de las aplicaciones, no es posible detectar las infracciones. No hacerlo tiene un impacto directo en la visibilidad, la alerta de incidentes y los análisis forenses. Cuanto más tiempo pase un atacante sin ser detectado, más probable será que el sistema se vea comprometido.
Los fallos de SSRF se producen cuando una aplicación web obtiene un recurso remoto sin validar la URL proporcionada por el usuario. Los atacantes pueden obligar a la aplicación a enviar una solicitud a un destino inesperado, incluso aunque esté protegida por un firewall, una VPN u otra lista de control de acceso a la red (ACL).