Ver y aprender

2021 OWASP Top 10 Video Series

Visión general del Top 10 de OWASP

Visión general del Top 10 de OWASP

John comienza explicando qué es el Top 10 de OWASP. Destaca temas como la reorientación de los riesgos en torno a los síntomas y las causas raíz, las nuevas categorías de riesgos y las arquitecturas de aplicaciones modernas. Siga el vídeo sobre cada uno de los 10 principales riesgos.


Top 10 de OWASP de 2021: Interrupción del control de acceso

El 94 % de las aplicaciones probadas mostraba algún tipo de interrupción en el control de acceso. Los fallos pueden dar lugar a la divulgación no autorizada, la modificación o la destrucción de datos, así como a la escalada de privilegios, y conducir a ataques de apropiación de cuentas (ATO), violaciones de la privacidad de los datos, multas y daños a la marca.


Top 10 de OWASP de 2021: Fallos criptográficos

Los fallos criptográficos, antes conocidos como "exposición de datos sensibles", conducen a la exposición de datos sensibles y al secuestro de sesiones de usuario. A pesar de la adopción generalizada de TLS 1.3, se siguen habilitando protocolos antiguos y vulnerables.


Top 10 de OWASP de 2021: Inyección

La inyección es una amplia clase de vectores de ataque donde la introducción de código no fiable altera la ejecución del programa de la aplicación. Esto puede conducir al robo de datos, la pérdida de la integridad de los datos, la denegación de servicios y el compromiso total del sistema. La inyección ya no es el principal riesgo, pero sigue siendo importante.


Top 10 de OWASP de 2021: Diseño poco seguro

La seguridad debe ser inherente a las aplicaciones. Incluso un diseño seguro puede tener defectos de implementación que den lugar a vulnerabilidades. Un diseño poco seguro no puede corregirse con una implementación perfecta.


Top 10 de OWASP de 2021: Configuración de seguridad defectuosa

La configuración defectuosa de la seguridad es una de las principales causas de las infracciones en la nube. Aprenda lo que debe hacer y evitar, ya que el desarrollo moderno de aplicaciones, la reutilización de software y la dispersión arquitectónica entre nubes aumentan este riesgo.


Top 10 de OWASP de 2021: Componentes vulnerables y obsoletos

Los exploits de software de código abierto están detrás de muchos de los mayores incidentes de seguridad. La reciente vulnerabilidad Log4j2 es quizás el riesgo más grave en esta categoría hasta la fecha.


Top 10 de OWASP de 2021: Errores de identificación y autenticación

Es fundamental confirmar la identidad y utilizar una autenticación y una gestión de sesiones sólidas para protegerse del abuso de la lógica empresarial. La mayoría de los ataques de autenticación tienen su origen en el uso continuado de contraseñas. Las credenciales comprometidas, las redes de bots y las herramientas sofisticadas proporcionan un atractivo retorno de la inversión para los ataques automatizados, como el credential stuffing.


Top 10 de OWASP de 2021: Fallos en la integridad del software y los datos

Esta nueva categoría de riesgo se centra en hacer suposiciones relacionadas con las actualizaciones de software, los datos críticos y los conductos de CI/CD sin verificar la integridad. El ataque a la cadena de suministro de SolarWinds es uno de los más dañinos que hemos visto.


Top 10 de OWASP de 2021: Fallos en el registro y la supervisión de la seguridad

Si no se registran y supervisan adecuadamente las actividades de las aplicaciones, no es posible detectar las infracciones. No hacerlo tiene un impacto directo en la visibilidad, la alerta de incidentes y los análisis forenses. Cuanto más tiempo pase un atacante sin ser detectado, más probable será que el sistema se vea comprometido.


Top 10 de OWASP de 2021: Falsificación de solicitudes del lado del servidor

Los fallos de SSRF se producen cuando una aplicación web obtiene un recurso remoto sin validar la URL proporcionada por el usuario. Los atacantes pueden obligar a la aplicación a enviar una solicitud a un destino inesperado, incluso aunque esté protegida por un firewall, una VPN u otra lista de control de acceso a la red (ACL).