¿Qué es OWASP? Introducción a las 10 vulnerabilidades y riesgos principales de OWASP

OWASP es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software.

OWASP (Open Worldwide Aplicação Security Project) es una comunidad abierta dedicada a permitir a las organizaciones diseñar, desarrollar, adquirir, operar y mantener software para aplicações seguras en las que se pueda confiar. Sus programas incluyen proyectos de software de código abierto liderados por la comunidad y conferencias locales y globales, en las que participan cientos de capítulos en todo el mundo con decenas de miles de miembros.

¿Por qué es importante OWASP?

OWASP desempeña un papel crucial en la concienciación sobre los riesgos de seguridad de las aplicaciones web y proporciona recursos, herramientas, documentación y prácticas recomendadas de gran valor para abordar los crecientes desafíos de la seguridad de las aplicaciones web. OWASP ayuda a los desarrolladores, profesionales de la seguridad y organizaciones a comprender las amenazas potenciales y a adoptar prácticas de seguridad recomendadas.

OWASP mantiene una lista de los diez riesgos de seguridad de aplicação web más críticos, junto con procesos, procedimientos y controles efectivos para mitigarlos. OWASP también proporciona una lista de los 10 principales riesgos de seguridad de API para educar a aquellos involucrados en el desarrollo y mantenimiento de API y aumentar la conciencia sobre las debilidades de seguridad de API comunes.

La comunidad OWASP alienta a las personas y organizaciones a contribuir a sus proyectos y recursos. Este enfoque colaborativo e impulsado por encuestas permite a la comunidad aprovechar el conocimiento y la experiencia colectivos de sus miembros, lo que da como resultado recursos completos y actualizados.

Existen riesgos de seguridad comunes a las aplicaciones y las API que deben tenerse en cuenta al implementar soluciones de seguridad. Por ejemplo: 

  • Controles de autorización o autenticación débiles
  • Configuración errónea
  • Abuso de la lógica de negocio (credential stuffing, apropiación de cuentas)
  • Server-Side Request Forgery (SSRF).

 

Top 10 de OWASP de riesgos de seguridad de las aplicaciones

OWASP Top 10 es una lista ampliamente reconocida de los riesgos de seguridad de aplicação web más críticos. La lista sirve como guía para desarrolladores, profesionales de seguridad y organizaciones a medida que priorizan sus esfuerzos para identificar y mitigar riesgos críticos de seguridad de aplicação web. 

La presencia de un riesgo en la lista OWASP Top 10 no indica necesariamente su prevalencia o gravedad en todas las aplicações web, y el Top Ten no está clasificado en un orden específico o por prioridad.  

Los 10 principales riesgos de seguridad de aplicação web según OWASP para 2021 son:

  1. Controles de acceso rotos. Esta vulnerabilidad se produce cuando la aplicación insuficiente de los controles de acceso y la autorización permite a los atacantes acceder a funcionalidades o datos no autorizados. Esto puede deberse a referencias directas a objetos inseguras (IDOR), que pueden surgir cuando una aplicação no logra validar o autorizar la entrada del usuario que se utiliza como referencia directa a un objeto interno. También puede ocurrir debido a la falta de controles de acceso a nivel de función, cuando la aplicação solo valida los controles de acceso en la etapa inicial de autenticación o autorización, pero no aplica consistentemente esos controles en todas las funciones u operaciones de la aplicación. Un firewall de aplicação web (WAF) puede ayudar a protegerse contra estos ataques al monitorear y aplicar controles de acceso para evitar el acceso no autorizado a objetos o recursos confidenciales.

  2. Fallos criptográficos. Este riesgo se produce debido a la protección inadecuada de datos sensibles durante el tránsito y en reposo. Las fallas criptográficas pueden provocar violaciones de datos, acceso no autorizado a información confidencial e incumplimiento de las regulaciones de privacidad de datos, como el Reglamento General de Protección de Datos de la UE (GDPR), y estándares financieros como los Estándares de seguridad de datos PCI (PCI DSS). Estas fallas pueden resultar de un almacenamiento criptográfico inseguro, del almacenamiento de datos en texto simple o de una gestión de claves insegura. El riesgo también puede derivar de una fuga de información, que puede tener su origen en la generación de claves débiles o números aleatorios o en fallos en los protocolos criptográficos. 
  3. Ataques de inyección. Las fallas de inyección ocurren cuando los atacantes insertan datos no confiables u hostiles en lenguajes de comando o consulta, o cuando la aplicação no valida, filtra o desinfecta los datos proporcionados por el usuario, lo que lleva a la ejecución no intencionada de comandos maliciosos. Esta categoría de riesgo abarca ataques NoSQL, de comandos del sistema operativo, LDAP y de inyección SQL, y también incluye Cross-Site Scripting (XSS) , en el que los atacantes inyectan scripts maliciosos del lado del cliente, como JavaScript, en páginas web vistas por otros usuarios. Esto puede resultar en el robo de información confidencial, como credenciales de inició de sesión, datos personales o cookies de sesión. Un WAF puede ayudar a detectar y bloquear intentos de inyección de código malicioso al inspeccionar y filtrar solicitudes entrantes, incluidas las XSS reflejadas (no persistentes), almacenadas (persistentes) y basadas en módulos de objetos de documento (DOM), evitando que lleguen a la aplicação.
  4. Diseño inseguro. Se trata de una categoría amplia que representa diferentes debilidades, expresadas como controles de seguridad faltantes o ineficaces y fallas arquitectónicas. Estas fallas pueden ocurrir cuando una aplicação está diseñada para depender de procesos que son inherentemente inseguros o cuando no se implementan los controles de seguridad necesarios para defenderse contra ataques específicos. Estos riesgos se pueden reducir mediante un mayor uso de modelos de amenazas, patrones de diseño seguros y arquitecturas de referencia.  
  5. Configuraciones incorrectas de seguridad. La falta de refuerzo de la seguridad en los marcos de aplicação web, plataformas, servidores o controles de seguridad puede dar lugar a acceso no autorizado, exposición de información confidencial u otras vulnerabilidades de seguridad. Los riesgos debidos a configuraciones de seguridad incorrectas también pueden resultar de permisos configurados incorrectamente en los servicios en la nube o de la instalación o habilitación de funciones innecesarias, como puertos, servicios, cuentas o privilegios no utilizados. La configuración incorrecta de las aplicaciones web y las API es un riesgo importante porque los principales proveedores de la nube tienen distintas posturas de seguridad predeterminadas y la arquitectura cada vez está más descentralizada y distribuida en una estructura de múltiples nubes.    
  6. Componentes vulnerables y obsoletos. El uso de componentes obsoletos, sin parches o vulnerables, como bibliotecas, marcos o complementos, puede exponer las aplicações a fallas de seguridad conocidas, lo que aumenta el riesgo de explotación. Estos riesgos pueden resultar de un software no compatible o desactualizado, incluido el sistema operativo (SO), el servidor web/ de aplicação , el sistema de administración de bases de datos (DBMS), las aplicações, las API y todos los componentes, entornos de ejecución y bibliotecas. Estas amenazas son particularmente peligrosas cuando las organizaciones no cuentan con medidas oportunas y basadas en riesgos para reparar o actualizar la plataforma, los marcos y las dependencias subyacentes de un sistema, lo que deja el sistema expuesto a días o semanas de exposición innecesaria a riesgos conocidos. Las cadenas de suministro de software complejas y la automatización a través de canales CI/CD aumentan el riesgo de introducir software vulnerable en la pila de TI. Un WAF puede servir como una medida provisional fundamental para protegerse contra la explotación de vulnerabilidades.  
  7. Fallos de identificación y autenticación. Las debilidades en la autenticación, la identidad y la gestión de sesiones pueden permitir a los atacantes comprometer cuentas de usuario, contraseñas, tokens de sesión o explotar un manejo inseguro de sesiones. Las fallas en estas áreas pueden permitir ataques automatizados como el credential stuffing . Las vulnerabilidades relacionadas con las contraseñas son la fuente más común de estos riesgos, ya que muchas personas reutilizan las contraseñas o utilizan contraseñas predeterminadas, débiles o conocidas. Los problemas de gestión de sesiones también pueden dar lugar a ataques relacionados con la autenticación, en particular si las sesiones de usuario o los tokens de autenticación no se invalidan correctamente durante el cierre de sesión o un período de inactividad. Los ataques que eluden los controles de autenticación son un riesgo cada vez mayor tanto para las aplicaciones web como para las API, como se detalla en los proyectos OWASP Top 10, API Security Top 10 y Automated Threats.  
  8. Fallos de integridad de software y datos. Estas vulnerabilidades son resultado de códigos y de infraestructuras de aplicação que no protegen contra violaciones de integridad de los datos y del software. Esto puede ocurrir cuando una aplicação depende de complementos, bibliotecas o módulos de fuentes, repositorios y CDN no confiables. También puede ocurrir durante actualizaciones de software, modificaciones de datos confidenciales y cambios en la canalización de CI/CD que no están validados. Los atacantes podrían potencialmente cargar sus propias actualizaciones para distribuirlas y ejecutarlas en todas las instalaciones. La deserialización insegura, donde una aplicação toma datos serializados no confiables y consume esos datos sin asegurarse de que sean válidos, también es parte de esta categoría de riesgo, lo que permite ataques como la ejecución remota de código (RCE) y la escalada de privilegios. 
  9. Fallos de registro y monitoreo de seguridad. Un registro y una supervisión inadecuados pueden dificultar la detección y la respuesta oportunas a incidentes de seguridad, lo que dificulta la identificación y mitigación de ataques o actividades no autorizadas. Esto puede significar que los eventos auditables, como inicios de sesión, inicios de sesión fallidos y transacciones de alto valor, no se identifican ni registran, y que las aplicações no detectan ataques activos en tiempo real.  
  10. Server-Side Request Forgery (SSRF).Estas vulnerabilidades ocurren cuando una aplicação no valida o desinfecta una URL ingresada por un usuario antes de extraer datos de un recurso remoto. Los atacantes pueden usar estas fallas para obligar a las aplicações a acceder a destinos web maliciosos incluso si están protegidas por un firewall u otra defensa. Estos ataques también pueden ocurrir si el recurso objetivo mantiene relaciones de confianza con otros sistemas, como un servicio de metadatos en la nube o API back-end, lo que permite a un atacante realizar solicitudes a esos servicios de confianza y extraer información sensible o ejecutar acciones no autorizadas.Para ayudar a mitigar SSRF, diseñe sistemas para acceso con el mínimo privilegio y utilice un WAF para definir explícitamente los parámetros del identificador uniforme de recursos (URI) en su política de seguridad y permitir o no permitir los hosts que puedan acceder a ellos.

El Top 10 de OWASP 2021 refleja algunas categorías nuevas y cambios de nombres con respecto al Top 10 de OWASP 2017 anterior. Estos cambios incluyeron la integración de la amenaza de riesgo de 2017 Entidades externas XML (XXE) en la categoría de Configuración incorrecta de seguridad de 2021 y la incorporación de Secuencias de comandos entre sitios (XSS) de 2017 a la categoría de Inyección de 2021. El riesgo de deserialización insegura de 2017 ahora es parte de la categoría de fallas de integridad de datos y software de 2021.    

Otras publicaciones de OWASP

En la actualidad, OWASP patrocina 293 proyectos, incluidos los siguientes 16 proyectos emblemáticos de OWASP que aportan un valor estratégico a OWASP y a la seguridad de las aplicaciones en su conjunto.

  1. Proyecto Amass de OWASP, que ha desarrollado una herramienta para ayudar a los profesionales de seguridad de la información a realizar mapas de red de superficies de ataque y realizar descubrimientos de activos externos utilizando recopilación de información de código abierto y técnicas de reconocimiento activo. 
  2. Proyecto Estándar de Verificación de Seguridad de Aplicação (ASVS) de OWASP, que proporciona una base para probar los controles de seguridad técnica de las aplicação web y también proporciona a los desarrolladores una lista de requisitos para el desarrollo seguro.  
  3. Serie de hojas de referencia de OWASP, creada para proporcionar un conjunto de guías de buenas prácticas fáciles de seguir para desarrolladores y defensores de aplicação . En lugar de centrarse en las mejores prácticas detalladas que no son prácticas para muchos desarrolladores y aplicações, estos pretenden proporcionar buenas prácticas que la mayoría de los desarrolladores realmente podrán implementar.  
  4. OWASP CycloneDX, que es un estándar de lista de materiales (BOM) completo que proporciona capacidades avanzadas de cadena de suministro para la reducción del riesgo cibernético.   
  5. OWASP Defectdojo, que es una herramienta de gestión de vulnerabilidades de código abierto que agiliza el proceso de pruebas al ofrecer plantillas, generación de informes, métricas y herramientas de autoservicio de referencia. 
  6. OWASP Dependency-Check, que es una herramienta de análisis de composición de software (SCA) que intenta detectar vulnerabilidades divulgadas públicamente contenidas dentro de las dependencias de un proyecto. Esto se logra determinando si existe un identificador de enumeración de plataforma común (CPE) para una dependencia determinada. Si se encuentra, se generará un informe vinculado a las entradas de vulnerabilidades y exposiciones comunes (CVE) asociadas.   
  7. OWASP Dependency-Track, que es una plataforma de análisis de componentes inteligentes que permite a las organizaciones identificar y reducir el riesgo en la cadena de suministro de software.
  8. OWASP Juice Shop, que es quizás la aplicação web insegura más moderna y sofisticada utilizada en capacitaciones de seguridad, demostraciones de concientización, competencias de capturar la bandera y como conejillo de indias para herramientas de seguridad. Juice Shop abarca vulnerabilidades de todo el Top Ten de OWASP junto con muchas otras fallas de seguridad encontradas en aplicações del mundo real.   
  9. Seguridad de aplicação móviles de OWASP, que es el proyecto insignia de OWASP para proporcionar un estándar de seguridad para aplicaciones móviles. También incluye una guía de pruebas completa que cubre los procesos, técnicas y herramientas utilizadas durante las pruebas de seguridad de aplicaciones móviles, así como un conjunto exhaustivo de casos de prueba que permite a los evaluadores ofrecer resultados consistentes y completos. 
  10. Conjunto de reglas básicas de OWASP ModSecurity, que es un conjunto de reglas genéricas de detección de ataques para usar con ModSecurity o firewalls de aplicação web compatibles. El CRS tiene como objetivo proteger las aplicações web de una amplia gama de ataques, incluido el Top Ten de OWASP, con un mínimo de alertas falsas.   
  11. Proyecto OWASP OWTF (Offensive Web Testing Framework), que es un marco de prueba de penetración de aplicação web de código abierto diseñado para evaluar y probar la seguridad de las aplicações web. El objetivo principal de OWTF es ayudar a los profesionales de seguridad y a los evaluadores de penetración a automatizar el proceso de evaluación y prueba de vulnerabilidades en aplicações web, permitiéndoles identificar y abordar las debilidades de seguridad de manera más efectiva.
  12. OWASP SAMM (Modelo de madurez de garantía de software), que proporciona una forma eficaz y medible de analizar y mejorar el modelado del ciclo de vida del desarrollo seguro . SAMM admite el ciclo de vida completo del software y es independiente de la tecnología y el proceso .  
  13. OWASP Security Knowledge Framework, que es una aplicação web que explica los principios de codificación segura en múltiples lenguajes de programación y tiene como objetivo ayudar a los desarrolladores a crear aplicações que sean seguras por diseño.  
  14. OWASP Security Shepherd, una plataforma de capacitación en seguridad de aplicação web y móviles diseñada para fomentar y mejorar la conciencia de seguridad entre un grupo demográfico con variados conjuntos de habilidades. El objetivo de este proyecto es tomar a novatos en AppSec o ingenieros experimentados y agudizar sus habilidades de pruebas de penetración hasta el estado de expertos en seguridad.   
  15. Guía de pruebas de web security de OWASP , que es una guía completa para probar la seguridad de aplicações y servicios web. Proporciona un marco de mejores prácticas utilizadas por evaluadores de penetración y organizaciones de todo el mundo.
  16. OWASP ZAP , que es una herramienta de prueba de seguridad de aplicação web diseñada para ayudar a los profesionales de seguridad y desarrolladores a identificar y mitigar vulnerabilidades de seguridad en aplicações web durante las fases de desarrollo y prueba.   

El caso de los controles de seguridad integrados

OWASP desempeña un papel crucial en la continua búsqueda por mejorar la seguridad del software al concienciar sobre los riesgos de seguridad de las aplicaciones web y sugerir prácticas recomendadas entre los desarrolladores, los profesionales de la seguridad y las organizaciones. Como proyecto basado en la comunidad, OWASP reúne a expertos y entusiastas para colaborar en la mejora de la seguridad de las aplicaciones web y ayuda a crear una cultura consciente de la seguridad, en la que se promueven prácticas de codificación y metodologías de desarrollo seguras.

Además, OWASP ofrece una gran cantidad de herramientas, documentos y recursos gratuitos y de código abierto que permiten a las organizaciones mejorar su posición de seguridad, incluidos OWASP Top 10, OWASP API Security Top 10 y el proyecto Automated Threats to Web Applications. Entre otras iniciativas de OWASP se incluyen:

Participe convirtiéndose en miembro de OWASP o asistiendo a una reunión del capítulo local, que son gratuitas y abiertas tanto a miembros como a no miembros. Además, OWASP organiza casi una docena de eventos globales y regionales cada año, que son grandes oportunidades para mejorar sus habilidades profesionales, construir su red profesional y aprender sobre las nuevas tendencias en la industria.

F5 aborda los riesgos de seguridad de OWASP

F5 apoya a la Fundación OWASP y su dedicación a mejorar la seguridad del software y generar conciencia sobre los riesgos y vulnerabilidades de seguridad de las aplicação web. Las soluciones de firewall de aplicação web de F5 bloquean y mitigan un amplio espectro de riesgos derivados del OWASP Top 10 .

Las soluciones F5 WAF combinan protección mediante firmas y comportamiento, incluida inteligencia sobre amenazas de F5 Labs y seguridad basada en ML, para mantenerse al día con las amenazas emergentes. Alivia la carga y la complejidad de proteger de forma consistente las aplicações en entornos de nube, locales y perimetrales, al tiempo que simplifica la gestión a través de una infraestructura SaaS centralizada. Los WAF de F5 también optimizan la seguridad de las aplicaciones al integrar protecciones en los marcos de desarrollo y los canales de CI/CD con funcionalidad de seguridad centralizada, orquestación centralizada y supervisión a través de un único panel con una vista de 360 ​​grados del rendimiento de la aplicación y los eventos de seguridad en las aplicações distribuidas. 

F5 también aborda los riesgos identificados en el OWASP API Security Top 10 con soluciones que protegen la creciente superficie de ataque y las amenazas emergentes a medida que las aplicaciones evolucionan y aumentan las implementaciones de API. Las soluciones F5 Web Aplicação and API Protection (WAAP) defienden la totalidad de la superficie de ataque de las aplicaciones modernas con protecciones integrales que incluyen WAF, seguridad de API , mitigación de DDoS L3-L7 y defensa contra bots contra amenazas automatizadas y fraude. La plataforma distribuida simplifica la implementación de políticas consistentes y escala la seguridad en todo su patrimonio de aplicaciones y API, independientemente de dónde estén alojadas, e integra la seguridad en el ciclo de vida de las API y en ecosistemas más amplios.

F5 también ofrece soluciones para abordar los riesgos descritos en el Proyecto de Amenazas Automatizadas a Aplicações Web de OWASP. F5 Distributed Cloud Bot Defense previene el fraude y el abuso que pueden eludir las soluciones de gestión de bots existentes y brinda monitoreo e inteligencia en tiempo real, así como análisis retrospectivo basado en ML para proteger a las organizaciones de ataques automatizados, sin insertar fricción en el usuario ni interrumpir la experiencia del cliente. Distributed Cloud Bot Defense mantiene su eficacia independientemente de cómo los atacantes se reorienten, ya sea que los ataques pasen de aplicaciones web a API o intenten eludir las defensas antiautomatización falsificando la telemetría o utilizando solucionadores de CAPTCHA humanos.

F5 también ofrece protección DDoS de múltiples niveles para seguridad en línea avanzada como un servicio de mitigación administrado y distribuido en la nube que detecta y mitiga ataques a gran escala dirigidos a redes, protocolos y aplicaciones en tiempo real; las mismas protecciones también están disponibles como soluciones locales de hardware, software e híbridas. F5 Distributed Cloud DDoS Mitigation defiende contra ataques volumétricos y específicos de la aplicación de capa 3-4 y de capa 7 avanzados antes de que lleguen a su infraestructura de red y aplicações.