OWASP es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software.
OWASP (Open Worldwide Aplicação Security Project) es una comunidad abierta dedicada a permitir a las organizaciones diseñar, desarrollar, adquirir, operar y mantener software para aplicações seguras en las que se pueda confiar. Sus programas incluyen proyectos de software de código abierto liderados por la comunidad y conferencias locales y globales, en las que participan cientos de capítulos en todo el mundo con decenas de miles de miembros.
OWASP desempeña un papel crucial en la concienciación sobre los riesgos de seguridad de las aplicaciones web y proporciona recursos, herramientas, documentación y prácticas recomendadas de gran valor para abordar los crecientes desafíos de la seguridad de las aplicaciones web. OWASP ayuda a los desarrolladores, profesionales de la seguridad y organizaciones a comprender las amenazas potenciales y a adoptar prácticas de seguridad recomendadas.
OWASP mantiene una lista de los diez riesgos de seguridad de aplicação web más críticos, junto con procesos, procedimientos y controles efectivos para mitigarlos. OWASP también proporciona una lista de los 10 principales riesgos de seguridad de API para educar a aquellos involucrados en el desarrollo y mantenimiento de API y aumentar la conciencia sobre las debilidades de seguridad de API comunes.
La comunidad OWASP alienta a las personas y organizaciones a contribuir a sus proyectos y recursos. Este enfoque colaborativo e impulsado por encuestas permite a la comunidad aprovechar el conocimiento y la experiencia colectivos de sus miembros, lo que da como resultado recursos completos y actualizados.
Existen riesgos de seguridad comunes a las aplicaciones y las API que deben tenerse en cuenta al implementar soluciones de seguridad. Por ejemplo:
OWASP Top 10 es una lista ampliamente reconocida de los riesgos de seguridad de aplicação web más críticos. La lista sirve como guía para desarrolladores, profesionales de seguridad y organizaciones a medida que priorizan sus esfuerzos para identificar y mitigar riesgos críticos de seguridad de aplicação web.
La presencia de un riesgo en la lista OWASP Top 10 no indica necesariamente su prevalencia o gravedad en todas las aplicações web, y el Top Ten no está clasificado en un orden específico o por prioridad.
Los 10 principales riesgos de seguridad de aplicação web según OWASP para 2021 son:
Controles de acceso rotos. Esta vulnerabilidad se produce cuando la aplicación insuficiente de los controles de acceso y la autorización permite a los atacantes acceder a funcionalidades o datos no autorizados. Esto puede deberse a referencias directas a objetos inseguras (IDOR), que pueden surgir cuando una aplicação no logra validar o autorizar la entrada del usuario que se utiliza como referencia directa a un objeto interno. También puede ocurrir debido a la falta de controles de acceso a nivel de función, cuando la aplicação solo valida los controles de acceso en la etapa inicial de autenticación o autorización, pero no aplica consistentemente esos controles en todas las funciones u operaciones de la aplicación. Un firewall de aplicação web (WAF) puede ayudar a protegerse contra estos ataques al monitorear y aplicar controles de acceso para evitar el acceso no autorizado a objetos o recursos confidenciales.
El Top 10 de OWASP 2021 refleja algunas categorías nuevas y cambios de nombres con respecto al Top 10 de OWASP 2017 anterior. Estos cambios incluyeron la integración de la amenaza de riesgo de 2017 Entidades externas XML (XXE) en la categoría de Configuración incorrecta de seguridad de 2021 y la incorporación de Secuencias de comandos entre sitios (XSS) de 2017 a la categoría de Inyección de 2021. El riesgo de deserialización insegura de 2017 ahora es parte de la categoría de fallas de integridad de datos y software de 2021.
En la actualidad, OWASP patrocina 293 proyectos, incluidos los siguientes 16 proyectos emblemáticos de OWASP que aportan un valor estratégico a OWASP y a la seguridad de las aplicaciones en su conjunto.
OWASP desempeña un papel crucial en la continua búsqueda por mejorar la seguridad del software al concienciar sobre los riesgos de seguridad de las aplicaciones web y sugerir prácticas recomendadas entre los desarrolladores, los profesionales de la seguridad y las organizaciones. Como proyecto basado en la comunidad, OWASP reúne a expertos y entusiastas para colaborar en la mejora de la seguridad de las aplicaciones web y ayuda a crear una cultura consciente de la seguridad, en la que se promueven prácticas de codificación y metodologías de desarrollo seguras.
Además, OWASP ofrece una gran cantidad de herramientas, documentos y recursos gratuitos y de código abierto que permiten a las organizaciones mejorar su posición de seguridad, incluidos OWASP Top 10, OWASP API Security Top 10 y el proyecto Automated Threats to Web Applications. Entre otras iniciativas de OWASP se incluyen:
Participe convirtiéndose en miembro de OWASP o asistiendo a una reunión del capítulo local, que son gratuitas y abiertas tanto a miembros como a no miembros. Además, OWASP organiza casi una docena de eventos globales y regionales cada año, que son grandes oportunidades para mejorar sus habilidades profesionales, construir su red profesional y aprender sobre las nuevas tendencias en la industria.
F5 apoya a la Fundación OWASP y su dedicación a mejorar la seguridad del software y generar conciencia sobre los riesgos y vulnerabilidades de seguridad de las aplicação web. Las soluciones de firewall de aplicação web de F5 bloquean y mitigan un amplio espectro de riesgos derivados del OWASP Top 10 .
Las soluciones F5 WAF combinan protección mediante firmas y comportamiento, incluida inteligencia sobre amenazas de F5 Labs y seguridad basada en ML, para mantenerse al día con las amenazas emergentes. Alivia la carga y la complejidad de proteger de forma consistente las aplicações en entornos de nube, locales y perimetrales, al tiempo que simplifica la gestión a través de una infraestructura SaaS centralizada. Los WAF de F5 también optimizan la seguridad de las aplicaciones al integrar protecciones en los marcos de desarrollo y los canales de CI/CD con funcionalidad de seguridad centralizada, orquestación centralizada y supervisión a través de un único panel con una vista de 360 grados del rendimiento de la aplicación y los eventos de seguridad en las aplicações distribuidas.
F5 también aborda los riesgos identificados en el OWASP API Security Top 10 con soluciones que protegen la creciente superficie de ataque y las amenazas emergentes a medida que las aplicaciones evolucionan y aumentan las implementaciones de API. Las soluciones F5 Web Aplicação and API Protection (WAAP) defienden la totalidad de la superficie de ataque de las aplicaciones modernas con protecciones integrales que incluyen WAF, seguridad de API , mitigación de DDoS L3-L7 y defensa contra bots contra amenazas automatizadas y fraude. La plataforma distribuida simplifica la implementación de políticas consistentes y escala la seguridad en todo su patrimonio de aplicaciones y API, independientemente de dónde estén alojadas, e integra la seguridad en el ciclo de vida de las API y en ecosistemas más amplios.
F5 también ofrece soluciones para abordar los riesgos descritos en el Proyecto de Amenazas Automatizadas a Aplicações Web de OWASP. F5 Distributed Cloud Bot Defense previene el fraude y el abuso que pueden eludir las soluciones de gestión de bots existentes y brinda monitoreo e inteligencia en tiempo real, así como análisis retrospectivo basado en ML para proteger a las organizaciones de ataques automatizados, sin insertar fricción en el usuario ni interrumpir la experiencia del cliente. Distributed Cloud Bot Defense mantiene su eficacia independientemente de cómo los atacantes se reorienten, ya sea que los ataques pasen de aplicaciones web a API o intenten eludir las defensas antiautomatización falsificando la telemetría o utilizando solucionadores de CAPTCHA humanos.
F5 también ofrece protección DDoS de múltiples niveles para seguridad en línea avanzada como un servicio de mitigación administrado y distribuido en la nube que detecta y mitiga ataques a gran escala dirigidos a redes, protocolos y aplicaciones en tiempo real; las mismas protecciones también están disponibles como soluciones locales de hardware, software e híbridas. F5 Distributed Cloud DDoS Mitigation defiende contra ataques volumétricos y específicos de la aplicación de capa 3-4 y de capa 7 avanzados antes de que lleguen a su infraestructura de red y aplicações.
LIBRO ELECTRÓNICO
Los 10 mejores de OWASP: Una nueva ola de riesgo ›
SEMINARIO WEB
Los 10 mejores de OWASP 2021: El nuevo orden de riesgo ›
RESUMEN DE LA SOLUCIÓN
F5 BIG-IP Advanced WAF : Protección para todas las aplicaciones, en cualquier lugar ›