OWASP Top 10 2021 - The List and How You Should Use It

Cyber Citadel
23 Nov 202108:50

Summary

TLDREl OWASP Top 10 es un estándar internacional de seguridad que enumera los principales riesgos para aplicaciones web. Actualizado en 2021, incluye cambios en la clasificación de riesgos y categorías nuevas. Este esfuerzo de la comunidad abarca proyectos de software de código abierto, capítulos locales y contribuciones de la industria. Los 10 riesgos principales son clasificados teniendo en cuenta la explotabilidad y el impacto técnico, y sirve como referencia mínima para código, revisión de código, herramientas y pruebas de penetración.

Takeaways

  • 🌐 OWASP Top 10 es un estándar internacional de seguridad que ha evolucionado para ser utilizado por organizaciones en todo el mundo.
  • 🚀 Iniciado en 2003, OWASP busca mejorar la seguridad de software, especialmente aplicaciones web.
  • 📜 El OWASP Top 10 es un documento de conciencia que representa un amplio consenso sobre los riesgos de seguridad más críticos para aplicaciones web.
  • 🥼 Casi todos los involucrados con OWASP son voluntarios y no está afiliado a ninguna empresa de tecnología, asegurando una información imparcial y costo-efectiva sobre seguridad de aplicaciones.
  • 🔍 OWASP utiliza una comunidad de proyectos de software de código abierto, capítulos locales en todo el mundo y miles de miembros para compilar su lista de los 10 riesgos más grandes.
  • 📊 Los datos y documentación se alimentan en un repositorio de GitHub gestionado por OWASP después de que el equipo central de Top 10 emita una llamada de datos.
  • 🗓 La última actualización del OWASP Top 10 fue en 2017, con cambios en el orden de categorías, nombres de categoría y algunas categorías completamente nuevas.
  • 🔥 "Ruptura de Control de Acceso" ha subido a la posición número uno en 2021, reemplazando las "Inyecciones" como la forma más popular de riesgo explotado por los ciberdelincuentes.
  • 🔒 "Fallas Cifrográficas", anteriormente conocido como "Exposición de Datos Sensibles", se sitúa en el número dos, reflejando un nuevo enfoque en los fallos relacionados con la criptografía.
  • 🆕 'Diseño Inseguro' es una categoría nueva para el OWASP Top 10 en 2021, que insta a los desarrolladores a incluir patrones y principios de seguridad en el diseño desde el principio.
  • 🔄 'Vulnerabilidades y Componentes Obsoletos' se ha subido de posición, destacando la dificultad de probar pero la alta relevancia en las encuestas comunitarias.

Q & A

  • ¿Qué es el OWASP Top 10 y por qué es importante?

    -El OWASP Top 10 es un estándar internacional de seguridad que enumera los diez riesgos críticos más importantes para las aplicaciones web. Es importante porque ayuda a las organizaciones a identificar y abordar las amenazas de ciberseguridad más comunes y actuales, mejorando la protección de sus sistemas y datos.

  • ¿Cuál es la diferencia entre OWASP y una empresa tecnológica comercial?

    -OWASP (Open Web Application Security Project) es una organización sin fines de lucro compuesta principalmente por voluntarios y no está afiliada a ninguna empresa tecnológica. Esto garantiza que la información y los recursos proporcionados por OWASP sean imparciales y orientados a mejoras prácticas en la seguridad de aplicaciones web, a diferencia de las empresas comerciales que podrían tener presiones comerciales o intereses personales.

  • ¿Cómo se crea la lista actualizada del OWASP Top 10?

    -La lista actualizada del OWASP Top 10 se crea a través de un proceso comunitario que incluye la contribución de datos y documentación en un repositorio de GitHub, participación en encuestas, análisis de datos y revisión pública. Se utiliza un enfoque mixto que combina datos estadísticos con opiniones y experiencias de expertos en la seguridad.

  • ¿Qué tipo de riesgos aborda la categoría 'Control de Acceso Roto'?

    -La categoría 'Control de Acceso Roto' aborda el riesgo de que los atacantes evadan las medidas de autorización y actúen como si tuvieran privilegios, lo que les permite exponer, modificar o destruir datos, o realizar cualquier función de red.

  • ¿Qué se entiende por 'Fallas Cifrográficas' en el OWASP Top 10?

    -Las 'Fallas Cifrográficas', anteriormente conocidas como 'Exposición de Datos Sensibles', se refieren a las vulnerabilidades relacionadas con la implementación inadecuada de cifrado, lo que puede permitir a los atacantes interceptar o decodificar información confidencial durante su transmisión.

  • ¿Qué representa la categoría 'Inyección' en el OWASP Top 10?

    -La categoría 'Inyección' se refiere a la explotación de vulnerabilidades en programas informáticos mediante la introducción de código malicioso que altera la ejecución del programa. Un ejemplo sería inyectar código en una aplicación web para robar cookies de autenticación y utilizarlas en otros servicios en línea, simulando que el atacante es el usuario legítimo.

  • ¿Qué es la categoría 'Diseño Inseguro' en el OWASP Top 10 y por qué es relevante?

    -La categoría 'Diseño Inseguro' es una nueva inclusión en el OWASP Top 10 que enfatiza la importancia de incluir patrones y principios de seguridad en la concepción de aplicaciones desde el principio. Esto es especialmente relevante en el contexto de los ataques a la cadena de suministro, como el ataque a SolarWinds.

  • ¿Qué se entiende por 'Configuración de Seguridad Inadeuada' en el OWASP Top 10?

    -La 'Configuración de Seguridad Inadeuada' se refiere a la falta de implementación completa de controles de seguridad en un servidor o aplicación web, o la implementación incorrecta de dichos controles. Esta categoría abarca una amplia gama de errores humanos, desde la interpretación equivocada de la implementación hasta la falta de habilidades informáticas o errores de tiempo presionado.

  • ¿Qué incluye la categoría 'Componentes Obsoletos y Vulnerables'?

    -La categoría 'Componentes Obsoletos y Vulnerables' incluye sistemas operativos, servidores web o de aplicaciones, sistemas de gestión de bases de datos, APIs y todos los entornos de tiempo de ejecución y bibliotecas que son vulnerables, no admitidos o obsoletos. Un solo componente vulnerable puede ser suficiente para comprometer un sistema.

  • ¿Qué ha cambiado la categoría 'Identificación y Autenticación Fallidas' en el OWASP Top 10?

    -La categoría 'Identificación y Autenticación Fallidas', anteriormente conocida simplemente como 'Broken Authentication', ha cambiado de posición en el ranking, pasando del segundo al séptimo lugar. Esto indica que los marcos de autenticación estándar están teniendo un impacto positivo, con la implementación de procedimientos como la autenticación de múltiples factores (MFA) mejorando la seguridad.

  • ¿Qué se aborda en la categoría 'Fallas de Integridad de Software y Datos'?

    -La categoría 'Fallas de Integridad de Software y Datos' se centra en la falta de protección contra violaciones de integridad en el software y la infraestructura, incluyendo actualizaciones de software, datos críticos, tuberías CI/CD y la eliminación de 'Insecure Deserialization' de la lista de 2017.

  • ¿Qué es 'Fallas en el Registro y Monitoreo de Seguridad' y por qué es importante?

    -Las 'Fallas en el Registro y Monitoreo de Seguridad' abordan la implementación inadecuada de sistemas de registro y monitoreo, lo que puede afectar seriamente la capacidad de visibilidad y análisis forense en caso de una breach. Aunque es difícil de probar debido a la falta de representación en los datos CVE/CSS, es crucial para la detección y respuesta a incidentes de seguridad.

  • ¿Qué se describe en la categoría 'Petición de Servidor Forgeada'?

    -La 'Petición de Servidor Forgeada' es una nueva categoría que aborda el riesgo de que un atacante abuse de la funcionalidad de un servidor para acceder o manipular información que de otro modo no estaría disponible. Esta categoría se ha incluido debido a la fuerte retroalimentación de la comunidad de seguridad que señala su importancia, más allá de lo que los datos recopilados sugieren.

Outlines

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Mindmap

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Keywords

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Highlights

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Transcripts

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora
Rate This

5.0 / 5 (0 votes)

Etiquetas Relacionadas
Seguridad CibernéticaOWASP Top 10Protección de DatosDesarrollo de SoftwareCibercriminalesInyección de CódigoCriptodefensaDiseño SeguroMala ConfiguraciónComponenentes Obsoletos