OWASP Top 10 2021 - The List and How You Should Use It

Cyber Citadel
23 Nov 202108:50

Summary

TLDREl OWASP Top 10 es un estándar internacional de seguridad que enumera los principales riesgos para aplicaciones web. Actualizado en 2021, incluye cambios en la clasificación de riesgos y categorías nuevas. Este esfuerzo de la comunidad abarca proyectos de software de código abierto, capítulos locales y contribuciones de la industria. Los 10 riesgos principales son clasificados teniendo en cuenta la explotabilidad y el impacto técnico, y sirve como referencia mínima para código, revisión de código, herramientas y pruebas de penetración.

Takeaways

  • 🌐 OWASP Top 10 es un estándar internacional de seguridad que ha evolucionado para ser utilizado por organizaciones en todo el mundo.
  • 🚀 Iniciado en 2003, OWASP busca mejorar la seguridad de software, especialmente aplicaciones web.
  • 📜 El OWASP Top 10 es un documento de conciencia que representa un amplio consenso sobre los riesgos de seguridad más críticos para aplicaciones web.
  • 🥼 Casi todos los involucrados con OWASP son voluntarios y no está afiliado a ninguna empresa de tecnología, asegurando una información imparcial y costo-efectiva sobre seguridad de aplicaciones.
  • 🔍 OWASP utiliza una comunidad de proyectos de software de código abierto, capítulos locales en todo el mundo y miles de miembros para compilar su lista de los 10 riesgos más grandes.
  • 📊 Los datos y documentación se alimentan en un repositorio de GitHub gestionado por OWASP después de que el equipo central de Top 10 emita una llamada de datos.
  • 🗓 La última actualización del OWASP Top 10 fue en 2017, con cambios en el orden de categorías, nombres de categoría y algunas categorías completamente nuevas.
  • 🔥 "Ruptura de Control de Acceso" ha subido a la posición número uno en 2021, reemplazando las "Inyecciones" como la forma más popular de riesgo explotado por los ciberdelincuentes.
  • 🔒 "Fallas Cifrográficas", anteriormente conocido como "Exposición de Datos Sensibles", se sitúa en el número dos, reflejando un nuevo enfoque en los fallos relacionados con la criptografía.
  • 🆕 'Diseño Inseguro' es una categoría nueva para el OWASP Top 10 en 2021, que insta a los desarrolladores a incluir patrones y principios de seguridad en el diseño desde el principio.
  • 🔄 'Vulnerabilidades y Componentes Obsoletos' se ha subido de posición, destacando la dificultad de probar pero la alta relevancia en las encuestas comunitarias.

Q & A

  • ¿Qué es el OWASP Top 10 y por qué es importante?

    -El OWASP Top 10 es un estándar internacional de seguridad que enumera los diez riesgos críticos más importantes para las aplicaciones web. Es importante porque ayuda a las organizaciones a identificar y abordar las amenazas de ciberseguridad más comunes y actuales, mejorando la protección de sus sistemas y datos.

  • ¿Cuál es la diferencia entre OWASP y una empresa tecnológica comercial?

    -OWASP (Open Web Application Security Project) es una organización sin fines de lucro compuesta principalmente por voluntarios y no está afiliada a ninguna empresa tecnológica. Esto garantiza que la información y los recursos proporcionados por OWASP sean imparciales y orientados a mejoras prácticas en la seguridad de aplicaciones web, a diferencia de las empresas comerciales que podrían tener presiones comerciales o intereses personales.

  • ¿Cómo se crea la lista actualizada del OWASP Top 10?

    -La lista actualizada del OWASP Top 10 se crea a través de un proceso comunitario que incluye la contribución de datos y documentación en un repositorio de GitHub, participación en encuestas, análisis de datos y revisión pública. Se utiliza un enfoque mixto que combina datos estadísticos con opiniones y experiencias de expertos en la seguridad.

  • ¿Qué tipo de riesgos aborda la categoría 'Control de Acceso Roto'?

    -La categoría 'Control de Acceso Roto' aborda el riesgo de que los atacantes evadan las medidas de autorización y actúen como si tuvieran privilegios, lo que les permite exponer, modificar o destruir datos, o realizar cualquier función de red.

  • ¿Qué se entiende por 'Fallas Cifrográficas' en el OWASP Top 10?

    -Las 'Fallas Cifrográficas', anteriormente conocidas como 'Exposición de Datos Sensibles', se refieren a las vulnerabilidades relacionadas con la implementación inadecuada de cifrado, lo que puede permitir a los atacantes interceptar o decodificar información confidencial durante su transmisión.

  • ¿Qué representa la categoría 'Inyección' en el OWASP Top 10?

    -La categoría 'Inyección' se refiere a la explotación de vulnerabilidades en programas informáticos mediante la introducción de código malicioso que altera la ejecución del programa. Un ejemplo sería inyectar código en una aplicación web para robar cookies de autenticación y utilizarlas en otros servicios en línea, simulando que el atacante es el usuario legítimo.

  • ¿Qué es la categoría 'Diseño Inseguro' en el OWASP Top 10 y por qué es relevante?

    -La categoría 'Diseño Inseguro' es una nueva inclusión en el OWASP Top 10 que enfatiza la importancia de incluir patrones y principios de seguridad en la concepción de aplicaciones desde el principio. Esto es especialmente relevante en el contexto de los ataques a la cadena de suministro, como el ataque a SolarWinds.

  • ¿Qué se entiende por 'Configuración de Seguridad Inadeuada' en el OWASP Top 10?

    -La 'Configuración de Seguridad Inadeuada' se refiere a la falta de implementación completa de controles de seguridad en un servidor o aplicación web, o la implementación incorrecta de dichos controles. Esta categoría abarca una amplia gama de errores humanos, desde la interpretación equivocada de la implementación hasta la falta de habilidades informáticas o errores de tiempo presionado.

  • ¿Qué incluye la categoría 'Componentes Obsoletos y Vulnerables'?

    -La categoría 'Componentes Obsoletos y Vulnerables' incluye sistemas operativos, servidores web o de aplicaciones, sistemas de gestión de bases de datos, APIs y todos los entornos de tiempo de ejecución y bibliotecas que son vulnerables, no admitidos o obsoletos. Un solo componente vulnerable puede ser suficiente para comprometer un sistema.

  • ¿Qué ha cambiado la categoría 'Identificación y Autenticación Fallidas' en el OWASP Top 10?

    -La categoría 'Identificación y Autenticación Fallidas', anteriormente conocida simplemente como 'Broken Authentication', ha cambiado de posición en el ranking, pasando del segundo al séptimo lugar. Esto indica que los marcos de autenticación estándar están teniendo un impacto positivo, con la implementación de procedimientos como la autenticación de múltiples factores (MFA) mejorando la seguridad.

  • ¿Qué se aborda en la categoría 'Fallas de Integridad de Software y Datos'?

    -La categoría 'Fallas de Integridad de Software y Datos' se centra en la falta de protección contra violaciones de integridad en el software y la infraestructura, incluyendo actualizaciones de software, datos críticos, tuberías CI/CD y la eliminación de 'Insecure Deserialization' de la lista de 2017.

  • ¿Qué es 'Fallas en el Registro y Monitoreo de Seguridad' y por qué es importante?

    -Las 'Fallas en el Registro y Monitoreo de Seguridad' abordan la implementación inadecuada de sistemas de registro y monitoreo, lo que puede afectar seriamente la capacidad de visibilidad y análisis forense en caso de una breach. Aunque es difícil de probar debido a la falta de representación en los datos CVE/CSS, es crucial para la detección y respuesta a incidentes de seguridad.

  • ¿Qué se describe en la categoría 'Petición de Servidor Forgeada'?

    -La 'Petición de Servidor Forgeada' es una nueva categoría que aborda el riesgo de que un atacante abuse de la funcionalidad de un servidor para acceder o manipular información que de otro modo no estaría disponible. Esta categoría se ha incluido debido a la fuerte retroalimentación de la comunidad de seguridad que señala su importancia, más allá de lo que los datos recopilados sugieren.

Outlines

00:00

🔒 Introducción a OWASP Top 10 y su importancia en la seguridad cibernética

Este párrafo introduce el OWASP Top 10 como un estándar internacional de seguridad que ha sido desarrollado por la Open Web Application Security Project (OWASP), una organización lanzada en 2003 para mejorar la seguridad de software, particularmente aplicaciones web. El documento de concienciación representa un consenso amplio sobre los riesgos de seguridad más críticos para las aplicaciones web. Aunque OWASP es una comunidad de voluntarios y no está afiliada a ninguna empresa de tecnología, su falta de presión comercial refuerza su afirmación de proporcionar información imparcial, práctica y costo-efectiva sobre seguridad de aplicaciones. El proceso de creación del OWASP Top 10 involucra la compilación de datos y documentación a través de proyectos de software de código abierto, capítulos locales en todo el mundo, decenas de miles de miembros y conferencias de formación, culminando en una lista de los 10 riesgos más importantes. La lista se actualizó por última vez en 2017 y se lanzó con cambios significativos en la categoría y el orden de los riesgos.

05:01

📈 Análisis detallado de las categorías del OWASP Top 10 en 2021

Este párrafo profundiza en el análisis de las categorías del OWASP Top 10 en su edición de 2021, destacando cambios en la clasificación y nombre de los riesgos. Se menciona que el control de acceso roto ha subido a la posición número uno, reemplazando la inyección, que se considera la forma más popular de riesgo explotado por los ciberdelincuentes. Además, se discuten categorías como Fallos Cripográficos, Inyección, Diseño Inseguro, Configuración Insegura, Componentes Obsoletos y Vulnerables, y Falencias en la Identificación y Autenticación, entre otros. Cada categoría se explica con detalle, resaltando su relevancia y cómo pueden ser explotadas para comprometer la seguridad de los sistemas. Finalmente, se menciona que el OWASP Top 10 es una lista de referencia mínima para la codificación, revisiones de código, revisión entre pares, soporte de herramientas y pruebas de penetración, y se enfatiza la importancia de estar al tanto de los hallazgos de OWASP para protegerse contra los riesgos cibernéticos reales.

Mindmap

Keywords

💡OWASP Top 10

El OWASP Top 10 representa un documento de conciencia estándar que identifica los riesgos de seguridad más críticos para las aplicaciones web. Este listado es actualizado periódicamente con base en investigaciones y contribuciones de la comunidad global de seguridad cibernética. En el guion, se menciona que la versión más reciente de 2021 introdujo cambios significativos, como la reorganización de categorías y la inclusión de nuevos riesgos, reflejando la evolución constante de las amenazas en el ámbito de la seguridad de aplicaciones web.

💡Control de Acceso Roto

El Control de Acceso Roto tomó el primer lugar en la lista de 2021, subiendo desde el quinto puesto. Este cambio enfatiza la creciente importancia de gestionar adecuadamente los permisos y autorizaciones dentro de las aplicaciones web. Un control de acceso deficiente permite a los atacantes eludir salvaguardas de autorización para exponer datos sensibles, modificar o destruir datos, o realizar cualquier función de red como si fueran usuarios privilegiados.

💡Fallas Criptográficas

Anteriormente conocido como Exposición de Datos Sensibles, las Fallas Criptográficas se centran en los errores relacionados con la criptografía que afectan la seguridad de la información transferida entre dos partes. Este tipo de fallas puede proporcionar a los atacantes información útil durante la fase de post-explotación, como métodos para mantener acceso persistente. Este cambio en la terminología y el enfoque destaca la importancia creciente de una criptografía robusta.

💡Inyección

La inyección, anteriormente conocida como Scripting entre Sitios y considerada la vulnerabilidad más crítica, implica la introducción de código malicioso en programas vulnerables para alterar su funcionamiento. Este tipo de ataque puede resultar en el robo de cookies de autenticación y su uso en otros servicios en línea, engañando a estos servicios para que crean que el atacante es el usuario legítimo. El descenso de esta categoría a la tercera posición refleja los cambios en el panorama de amenazas.

💡Diseño Inseguro

Una categoría nueva en la lista de 2021, el Diseño Inseguro, hace un llamado a los desarrolladores para incluir más patrones y principios de seguridad por diseño. Este enfoque pretende abordar las vulnerabilidades desde la fase de diseño de las aplicaciones, subrayando la importancia de la seguridad en el desarrollo de software, especialmente en el contexto de ataques a la cadena de suministro como el incidente de SolarWinds.

💡Configuración de Seguridad Inadecuada

Esta categoría destaca los errores en la implementación de controles de seguridad o la implementación incorrecta de estos controles en servidores o aplicaciones web. La prevalencia de este tipo de errores en el 90% de las aplicaciones probadas refleja la complejidad y los desafíos de configurar correctamente los sistemas de software altamente configurables, lo que subraya la importancia de una configuración de seguridad adecuada.

💡Componentes Vulnerables y Desactualizados

Esta categoría aborda el riesgo asociado con el uso de sistemas operativos, servidores web o de aplicaciones, sistemas de gestión de bases de datos, APIs y bibliotecas que son vulnerables, no tienen soporte o están desactualizados. El reconocimiento de que solo se necesita un componente vulnerable para comprometer un sistema resalta la necesidad continua de protegerse contra vulnerabilidades conocidas.

💡Fallos de Identificación y Autenticación

Rebautizado desde la categoría de Autenticación Rota, este riesgo destaca los fallos en la gestión de contraseñas, llaves, tokens de sesión, información de cuentas de usuario y otros detalles para asumir identidades de usuario. El cambio en su posicionamiento en la lista refleja mejoras en los marcos estandarizados y procedimientos de autenticación, como la autenticación multifactor (MFA), en proteger la información clave de usuario.

💡Integridad de Software y Datos

Una nueva categoría que se enfoca en las actualizaciones de software, datos críticos y pipelines de CI/CD, e incluye Deserialización Insegura de 2017. Esta categoría relaciona a código e infraestructura que no protegen contra violaciones de integridad, como aplicaciones que dependen de plugins de fuentes no confiables, lo que puede dar a los atacantes acceso a la aplicación.

💡Falsificación de Petición en el Lado del Servidor

Conocida por sus siglas en inglés como SSRF, esta categoría es una adición nueva debido a su posicionamiento como número uno en la encuesta comunitaria. Ilustra la importancia de este riesgo que no se evidencia en los datos recopilados. SSRF es un tipo de explotación que permite a un atacante abusar de la funcionalidad de un servidor para acceder o manipular información que de otra manera no estaría directamente accesible.

Highlights

OWASP Top 10 is an international security standard used globally.

Despite using OWASP, organizations still fall victim to cyberattacks.

OWASP was launched in 2003 to enhance software security, especially web applications.

OWASP Top 10 is a consensus document on the most critical web application security risks.

OWASP operates without commercial pressure, providing unbiased and practical security information.

The Top 10 risks are compiled using open-source projects, local chapters, and community surveys.

The 2021 OWASP Top 10 list was released with changes in category order and new categories.

Broken Access Control has become the top risk, highlighting the importance of authorization safeguards.

Cryptographic Failures, previously Sensitive Data Exposure, is now the second risk, emphasizing cryptography-related issues.

Injection,下滑至第三位, remains a significant vulnerability exploited by attackers.

Insecure Design is a new category, urging developers to integrate security patterns by design.

Security Misconfiguration, affecting 90% of tested applications, is now the fifth risk.

Vulnerable and Outdated Components, a rise from ninth to sixth position, signifies the ongoing challenge of patching.

Identification and Authentication Failures, a new name for Broken Authentication, is at seventh, showing progress in standard frameworks.

Software and Data Integrity Failures, a new category at eighth, focuses on protecting software updates and critical data.

Security Logging and Monitoring Failures, now ninth, impacts visibility and forensics in security.

Server-side Request Forgery, new at tenth, reflects the community's recognition of this significant risk.

The OWASP Top 10 serves as a baseline for compliance, education, and vendor tools in application security.

Transcripts

play00:00

The OWASP Top 10 has developed into  an international security standard  

play00:03

used by organizations across the globe.  But even organizations that use OWASP  

play00:08

still end up as victims of cyberattack. So what  is the OWASP Top 10 and how should you be using it?

play00:14

What do you need to know so it becomes your friend?

play00:33

OWASP, or the Open Web Application Security  Project, was launched in 2003 to improve the  

play00:39

security of software, notably web applications.  The OWASP Top 10 is a standard awareness document  

play00:46

that represents a broad consensus about the  most critical security risks to web applications.  

play00:52

Nearly all involved with OWASP are volunteers  and it is not affiliated with any technology  

play00:57

company. This lack of commercial pressure  cements OWASP's claim of "unbiased, practical  

play01:02

and cost-effective information about  application security." Or does it?

play01:11

OWASP uses a community of  open source software projects,  

play01:14

hundreds of local chapters worldwide, tens of  thousands of members and training conferences  

play01:19

to compile their list of Top 10 risks. Data and  documentation is fed into a GitHub repository  

play01:26

managed by OWASP after the Top 10 core team  release a data call. Industry contributors are  

play01:31

also encouraged to participate in a survey. Once  the data is collected in GitHub, it is normalized  

play01:38

and analyzed. Surveys are collected and reviewed. A  draft Top 10 list is then made using eight risks  

play01:44

taken from the data and two from the survey. The  draft is released publicly and the editing process  

play01:49

is recorded in GitHub. Once a public consensus  has been reached, the OWASP Top 10 is released.

play01:59

Last updated in 2017, the new list  released on 24 September 2021  

play02:04

featured changes in category order, category name  changes as well as some entirely new categories.  

play02:10

Let's take a look at the 2021 list and explain  what the Top 10 categories actually mean.

play02:19

Broken Access Control - up from number  five - has taken the top spot in 2021.  

play02:24

This is an important change as it replaced  injection - largely seen as the most popular  

play02:28

form of risk exploited by cybercriminals.  Broken Access Control allows attackers to  

play02:34

bypass authorization safeguards and perform  tasks as if they were privileged users.  

play02:39

Put simply, broken access control gives an  attacker the ability to expose sensitive data  

play02:44

modify or destroy data, or perform pretty much any  network function. It is the holy grail of exploits.

play02:55

Cryptographic Failures - previously called  Sensitive Data Exposure - is in at number two  

play03:00

from number three. Cryptographic Failures  signifies a renewed focus by OWASP on failures  

play03:06

related to cryptography. In essence, this category  exploits information transferred over secure  

play03:11

communication between two parties, which often  provides an attacker with useful information  

play03:16

in the post-exploitation phase, like  how to maintain persistent access.  

play03:24

Injection - previously known as Cross-site Scripting  and considered the king of vulnerabilities -  

play03:29

slid down to number three. Injection exploits  a vulnerable computer program by introducing  

play03:34

code that changes the way a program executes. For  example, by injecting code into a web application  

play03:40

an attacker can steal authentication  cookies and use them on other online  

play03:45

services, tricking these services into  thinking that the attacker is you.

play03:52

Insecure Design - a new category for the  2021 OWASP Top 10 - is in at number four. It  

play03:58

was included as a firm call for developers to  include more security patterns and principles  

play04:02

by design. This is an important consideration  when including a new application into your  

play04:08

network infrastructure, especially given  the supply chain attack on SolarWinds  

play04:11

and the effect it had on third-party service providers.

play04:18

Security Misconfiguration - in at number five,  up from number six - was present in 90%  

play04:23

of applications tested, not surprising  given the rise in highly configurable software.  

play04:29

Security Misconfiguration is a failure to  implement all the security controls for a  

play04:34

server or web application, or implementing  security controls but with errors. Everyone  

play04:39

makes mistakes and security misconfigurations  occur through a broad range of human errors:  

play04:44

misinterpreting a system implementation;  not changing default logging credentials;  

play04:49

a lack of computer skills; or, mistakes  made under time pressure, for example.

play04:56

Vulnerable and Outdated Components -  previously known as Using Components  

play05:00

with Known Vulnerabilities - is up at number  six, from number nine. By OWASP's own admission,  

play05:05

this category is difficult to test, but  featured highly in the community survey  

play05:09

therefore contributing to its recent rank.  Vulnerable and Outdated Components includes  

play05:14

operating systems, web or application  servers, database management systems,  

play05:19

apis, and all components runtime environments  and libraries that are vulnerable,  

play05:24

unsupported, or out of date. An adversary only  needs to find one vulnerable component to  

play05:29

compromise a system. The problem is approximately  18,000 new vulnerabilities are found  

play05:34

each year, so protecting against known  vulnerabilities is an ongoing process.

play05:42

A new name given to Broken Authentication,  Identification and Authentication Failures  

play05:47

comes in at number seven, down from number two - a  good sign that standardized frameworks are helping.  

play05:52

broken authentication referred to the compromise of passwords,  

play05:56

keys, session tokens, user account information  and other details to assume user identities.  

play06:02

The new position of Identification and  Authentication Failures shows that procedures  

play06:06

like MFA are integral in authenticating key  information, like usernames and passwords.

play06:15

Another new category, Software and Data Integrity  Failures comes in at number eight, focusing on  

play06:20

software updates, critical data, CI/CD pipelines  and includes Insecure Desterilization from 2017.  

play06:28

This new category relates to code and  infrastructure that does not protect against  

play06:32

integrity violations. An example of this is where  an application, like Wordpress, relies on plugins  

play06:38

from untrusted sources one compromise plugin  can give an attacker access to your application.

play06:47

Previously categorized as Insufficient  Logging and Monitoring, Security Logging  

play06:51

and Monitoring Failures comes in at number nine,

play06:53

up from number 10. Although admittedly hard to  test for due to a lack of representation in CVE/CSS data,

play07:01

Security Logging and Monitoring Failures  can seriously impact visibility and forensics.

play07:09

Lastly, at number 10, Server-side Request Forgery  is another new addition due to its position as  

play07:14

number one in the community survey, indicating  strong feedback from the security community  

play07:18

that it is an important risk but not illustrated  in the data collected. Server-side Request Forgery  

play07:24

is a type of exploit where an attacker abuses the  functionality of a server causing it to access or  

play07:29

manipulate information that would otherwise  not be directly accessible to the attacker.

play07:38

The OWASP Top 10 is the go-to listing for anyone  concerned with raising their awareness of top  

play07:43

risks. The addition of survey considerations  as well as pure statistical data means that  

play07:48

OWASP does not solely rely on data collected by  automated tests. Where possible, the categories  

play07:54

are ranked given three main considerations  exploitability likelihood and technical impact.

play08:00

However, OWASP themselves claim that it is a  baseline - a "pseudo standard" even - for compliance,  

play08:05

education and vendor tools. As an awareness  document, it is regarded as the bare minimum  

play08:10

reference for standards of coding, code reviews,  peer reviews, tool support and penetration testing.  

play08:17

Being focused on AppSec means that many of the Top  10 findings cannot be easily tested for in-house.  

play08:23

Being a voluntary service means that participants  releasing information publicly do so theoretically,  

play08:28

without the experience of a real world attack. If  you're keen to hear more about OWASP's Top 10 list, 

play08:34

keep an eye out for our next video which compares  OWASP's findings with our own list of Top 10 risks.  

play08:40

The risk is real. Defend with Cyber Citadel.

Ver Más Videos Relacionados

Linus Torvalds: Speaks on XZ Hack in Linux and Trust in Open Source Dev

What to Look for in a Secure Privacy Focused Messaging App

Incoterms® 2010 Christoph M Radtke

Qué es el internet de las cosas

Plan de Pruebas para Proyectos Ágiles

Documental Código Linux / The Code - Story of Linux (Español)

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Etiquetas Relacionadas
Seguridad CibernéticaOWASP Top 10Protección de DatosDesarrollo de SoftwareCibercriminalesInyección de CódigoCriptodefensaDiseño SeguroMala ConfiguraciónComponenentes Obsoletos