OWASP Top

OWASP TOP 10

(10 Vulnerabilidades más comunes en aplicaciones web)

A06

A04

A02

A03

A05

Componentes vulnerables y desactualizados

Diseño inseguro

A01

Fallas criptográficas

Inyección

Configuración incorrecta de seguridad

Pérdida de control de acceso

A07

A09

A08

A10

Fallas de indentificación y autenticación

Fallas en el registro y en el monitoreo

Fallas en el software y en la integridad de los datos

SSRF

A2:2021

Fallas criptográficas

Anteriormente conocido como exposición de datos sensibles, la atención se centra en las fallas relacionadas con la criptografía (o la falta de ésta). Lo primero es determinar las necesidades de protección de los datos en tránsito y en reposo. Por ejemplo, contraseñas, números de tarjetas de crédito, registros médicos, información personal y secretos comerciales requieren protección adicional.

• ¿Se utilizan claves criptográficas predeterminadas, se generan o reutilizan claves criptográficas débiles, o es inexistente la gestión o rotación de claves adecuadas?
• ¿Se incluyen las claves criptográficas en los repositorios de código fuente?
• ¿No es forzado el cifrado, por ejemplo, faltan las directivas de seguridad de los encabezados HTTP (navegador) o los encabezados?

https://owasp.org/Top10/A02_2021-Cryptographic_Failures/

A09:2021

Fallas en el registro y monitoreo

La intención es apoyar la detección, escalamiento y respuesta ante brechas activas. Sin registros y monitoreo, las brechas no pueden ser detectadas. Registros, detecciones, monitoreo y respuesta activas insuficientes pueden ocurrir en cualquier momento.

https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/

A06:2021

Componentes vulnerables y desactualizados

Los componentes vulnerables son un problema conocido que es difícil de probar y evaluar el riesgo. Si no conoce las versiones de todos los componentes que utiliza (tanto en el cliente como en el servidor). Esto incluye los componentes que usa directamente, así como las dependencias anidadas.

La aplicación puede ser vulnerable si:

• Si no analiza en búsqueda de vulnerabilidades de forma regular y no se suscribe a los boletines de seguridad relacionados con los componentes que utiliza.
• Si el software carece de soporte o no está actualizado. Esto incluye el sistema operativo, el servidor web/de aplicaciones, el sistema de administración de bases de datos (DBMS), las aplicaciones, las API y todos los componentes, los entornos de ejecución y las bibliotecas.

https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/

A04:2021

Diseño inseguro

El diseño inseguro es una categoría amplia que representa diferentes debilidades, expresadas como "diseño de control faltante o ineficaz". El diseño inseguro no es la fuente de las otras 10 categorías. Existe una diferencia entre un diseño inseguro y una implementación insegura. Distinguimos entre fallas de diseño y defectos de implementación por un motivo, difieren en la causa raíz y remediaciones. Incluso un diseño seguro puede tener defectos de implementación que conduzcan a vulnerabilidades que pueden explotarse.

https://owasp.org/Top10/A04_2021-Insecure_Design/

A03:2021

Inyección

Los ataques de inyección ocurren cuando se envían datos que no son de confianza a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a los datos sin la debida autorización.

• 1. Server Side JS Injection.

• 2. SQL and NoSQL Injection.
• 3. Log Injection.

https://owasp.org/Top10/A03_2021-Injection/

A07:2021

Fallas de identificación y autenticación

La confirmación de la identidad, la autenticación y la gestión de sesiones del usuario son fundamentales para protegerse contra ataques relacionados con la autenticación.

https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/

A08:2021

Fallas en el software y en la integridad de los datos

Los fallos de integridad del software y de los datos están relacionados con código e infraestructura no protegidos contra alteraciones (integridad). Ejemplos de esto son cuando una aplicación depende de plugins, bibliotecas o módulos de fuentes, repositorios o redes de entrega de contenidos (CDN) no confiables.

Un pipeline CI/CD inseguro puede conducir a accesos no autorizados, la inclusión de código malicioso o el compromiso del sistema en general. Además, es común en la actualidad que las aplicaciones implementan funcionalidades de actualización, a través de las cuales se descargan nuevas versiones de la misma sin las debidas verificaciones de integridad que fueron realizadas previamente al instalar la aplicación

https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/

A10:2021

Falsificación de solicitudes del lado del servidor (SSRF)

Las fallas de SSRF ocurren cuando una aplicación web está obteniendo un recurso remoto sin validar la URL proporcionada por el usuario. Permite que un atacante coaccione a la aplicación para que envíe una solicitud falsificada a un destino inesperado, incluso cuando está protegido por un firewall, VPN u otro tipo de lista de control de acceso a la red (ACL).

https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/

A05:2021

Configuración incorrecta de seguridad

Esta vulnerabilidad permite que un atacante acceda a cuentas predeterminadas, páginas no utilizadas, fallas sin parches, archivos y directorios desprotegidos, etc. para obtener acceso no autorizado o conocimiento del sistema. Esta vulnerabilidad puede ocurrir en cualquier nivel del stack tecnológico, incluida la plataforma, el servidor web, el servidor de aplicaciones, la base de datos, el framework y el código personalizado.

• La falta el hardening de seguridad adecuado en cualquier parte del stack tecnológico o permisos configurados incorrectamente en los servicios en la nube.
• Tiene funciones innecesarias habilitadas o instaladas (puertos, servicios, páginas, cuentas o privilegios innecesarios, por ejemplo).
• Las cuentas predeterminadas y sus contraseñas aún están habilitadas y sin cambios.
• El manejo de errores revela a los usuarios rastros u otros mensajes de error demasiado informativos.

https://owasp.org/Top10/A05_2021-Security_Misconfiguration/

A01:2021

Pérdida de control de acceso

El control de acceso implementa el cumplimiento de política de modo que los usuarios no pueden actuar fuera de los permisos que le fueron asignados. Las fallas generalmente conducen a la divulgación de información no autorizada, la modificación o la destrucción de todos los datos o la ejecución de una función de negocio fuera de los límites del usuario.

• Violación del principio de mínimo privilegio o denegación por defecto.
• Eludir las comprobaciones de control de acceso modificando la URL (alteración de parámetros o navegación forzada).
• Permitir ver o editar la cuenta de otra persona.

https://owasp.org/Top10/A01_2021-Broken_Access_Control/