Lo nuevo del OWASP Top 10

En este artículo hablaremos sobre los 10 mayores riesgos  de seguridad liberados recientemente por el OWASP Top 10, un ranking que recopila cuáles son las vulnerabilidades más riesgosas que pueden darse en la seguridad de aplicaciones web. 

canedo_f7d8fb8700084443b4a6fe6d2771377e.png

Por @GerardoMCanedo 

 

Este documento surge como resultado del análisis de información recopilada mediante un llamado público, el cual consistió en el reporte de vulnerabilidades que realizaron distintas empresas especializadas en Seguridad de Aplicaciones. El documento cuenta con más de 10 años de actualizaciones periódicas y recientemente se liberó la versión 2017. 

Las inyecciones son las vulnerabilidades que se encuentran, desde el 2010, en el primer lugar del ranking. Una inyección permite a un atacante manipular datos enviados a un intérprete, obteniendo el resultado que éste desee. Si bien el caso más conocido es la manipulación de sentencias SQL (inyecciones SQL), existen otros tipos como las inyecciones del comando en el sistema operativo,  las inyecciones ORM, entre otras.

En segundo lugar, está la Pérdida de Autenticación, es decir defectos o errores en las funciones de autenticación (login, olvido de contraseña) o en la gestión de las sesiones.

El tercer y novedoso lugar del ranking lo ocupa la Exposición de datos sensibles. Esta vulnerabilidad permite la divulgación de datos personales o sensibles por errores de implementación o fallas de diseño, permitiendo a un atacante visualizar información privada como tarjetas de crédito, datos personales, historias clínicas, entre otras.

La cuarta vulnerabilidad, que nunca había integrado el ranking de las más riesgosas, es la de Entidades Externas de XML (XXE). Ocurre cuando se utiliza un parser de XML que no está correctamente configurado. Un atacante podrá obtener información privilegiada del servidor, atacar otros servidores o realizar una denegación de servicio de la propia aplicación.

En el quinto lugar está la Pérdida de control de acceso. Este punto refiere a faltas de controles que permiten a un atacante realizar funciones en la aplicación sobre las que no debería tener acceso. Esto ocurre cuando por ejemplo, un cliente válido de un banco realiza una transferencia desde una cuenta que no le pertenece.

Las Configuraciones de seguridad incorrectas ocupan el sexto lugar del ranking. Algunos ejemplos son las trazas detalladas ante distintos errores, la falta de configuración de cabezales http, el uso de contraseñas por defecto, las instalaciones realizadas por defecto, la no aplicación de parches de seguridad, etc.

La vulnerabilidad Cross Site Scripting descendió del tercer lugar que ocupaba en la versión 2013, hacia el séptimo en esta edición. Inyectando HTML, Javascript u otros lenguajes interpretados por el navegador, un atacante puede secuestrar la sesión de un usuario o engañarlo para que revele información confidencial como pueden ser contraseñas, por ejemplo.

En el octavo lugar aparece una vulnerabilidad que ha tomado relevancia en los últimos años: la Deserialización insegura. Esto ocurre cuando el desarrollador utiliza serialización para almacenar un objeto, y este objeto puede ser manipulado por un atacante. En el peor caso, un atacante puede lograr ejecutar su propio código en el servidor atacado, lo que no es nada bueno.

Normalmente, los desarrolladores utilizamos para implementar una funcionalidad en particular (como puede ser la impresión a PDF de un reporte) una biblioteca de un tercero. Estas bibliotecas no están exentas de vulnerabilidades, y nuestros desarrollos las heredan.

En la novena posición se encuentra el Uso de Componentes con Vulnerabilidades Conocidas. Al utilizar frameworks o bibliotecas de terceros, debemos actualizar nuestras referencias de forma acorde.

El último lugar del ranking de riesgo de vulnerabilidades lo ocupa el Registro y Monitoreo Insuficiente. Ocurre cuando se implantan sistemas y luego no se monitorizan por ataques o no se posee la suficiente información para analizar un ataque realizado o en proceso dificultando notoriamente la implementación de mitigaciones.

Esta nueva versión del OWASP Top 10 nos ayuda a conocer cuáles son las tendencias de riesgos en aplicaciones web sirviendo de gran aporte a la disciplina Seguridad de Aplicaciones. A pesar de solo cubrir los aspectos de mayor riesgo y dejar otras vulnerabilidades fuera, es imperativo que toda aplicación web no sea vulnerable a ellos.

El documento completo se puede descargar desde aquíPróximamente se encontrará disponible la versión en español.

Sobre OWASP

OWASP es el acrónimo en inglés de Open Web Application Security Project (Proyecto Abierto de Seguridad en Aplicaciones Web). Fue fundado en diciembre de 2001 en USA, manteniéndose desde entonces libre, gratuita e independiente de proveedores de tecnología. Luego de 16 años, se ha convertido en la organización de referencia de seguridad de aplicaciones a nivel mundial, siéndolo no solo para las aplicaciones web, sino también para las aplicaciones móviles, cloud, y otras tecnologías.

En su sitio web se puede encontrar información, herramientas y metodologías relativas a la seguridad de aplicaciones.

Escrito por Gerardo Canedo, Gerente de Seguridad de GeneXus Consulting.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s