OWASP Top 10

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda


Riesgos de seguridad en WebApps según la OWASP

OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la organización OWASP (en inglés Open Web Application Security Project, en español Proyecto Abierto de Seguridad de Aplicaciones Web).[1]​ Esta lista se publica y actualiza cada tres años por dicha organización.

El objetivo de este proyecto según la OWASP top 10(2013), es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.[1]​ Así mismo estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,[2]​ SANS, PCI DSS, DISA, FCT.

Historia[editar]

OWASP Top 10 fue lanzado por primera vez en 2003, con actualizaciones en 2004 y 2007. La versión 2010 fue renovada para dar prioridad al riesgo, no sólo a la prevalencia. La edición 2013 sigue el mismo enfoque.[1]

Los documentos del OWASP top 10 comenzaron a publicarse desde el 2004, haciendo un total de cuatro actualizaciones hasta la fecha, estos son además del Owasp top 10-2004 el Owasp top 10-2007, Owasp top 10-2010 y Owasp top 10-2013.[3]​ Hay una versión inicial del 2003 pero no hay detalles en la página del proyecto más que la lista de los riesgos de seguridad de ese entonces.

OWASP Top 10-2003 OWASP Top 10-2004 OWASP Top 10-2007 OWASP Top 10-2010 OWASP Top 10-2013 OWASP Top 10-2016
A1-Entrada no validada A1-Entrada no validada A1-Secuencia de comandos en sitios cruzados XSS A1-Inyección A1-Inyección A1 - Verify for Security Early and Often
A2-Control de acceso interrumpido A2-Control de acceso interrumpido A2-Fallas de inyección A2-Secuencia de comandos en sitios cruzados XSS A2-Pérdida de autenticación y gestión de sesiones A2 - Parameterize Queries
A3-Administración de cuentas y sesión interrumpida A3-Administración de autenticación y sesión interrumpida A3-Ejecución de ficheros malintencionados A3-Pérdida de autenticación y gestión de sesiones A3-Secuencia de comandos en sitios cruzados XSS A3 - Encode Data
A4-Fallas de cross site scripting XSS A4-Fallas de cross site scripting XSS A4-Referencia insegura y directa a objetos A4-Referencia directa insegura a objetos A4-Referencia directa insegura a objetos A4 - Validate All Inputs
A5-Desbordamiento de bufer A5-Desbordamiento de bufer A5-Falsificación de peticiones en sitios cruzados CSRF A5-Falsificación de peticiones en sitios cruzados CSRF A5-Configuración de seguridad incorrecta A5 - Implement Identity and Authentication Controls
A6-Fallas de inyección de comandos A6-Fallas de inyección A6-Revelación de información y gestión incorrecta de errores A6-Defectuosa configuración de seguridad A6-Exposición de datos sensibles A6 - Implement Appropriate Access Controls
A7-Problemas de manejo de errores A7-Manejo inadecuado de errores A7-Pérdida de autenticación y gestión de sesiones A7-Almacenamiento criptográfico inseguro A7-Ausencia de control de acceso a las funciones A7 - Protect Data
A8-Uso inseguro de criptografía A8-Almacenamiento inseguro A8-Almacenamiento criptográfico inseguro A8-Falla de restricción de acceso a URL A8-Falsificación de peticiones en sitios cruzados CSRF A8 - Implement Logging and Intrusion Detection
A9-Fallas de administración remota(no aplicable) A9-Negación de servicio A9-Comunicaciones inseguras A9-Protección insuficiente en la capa de transporte A9-Uso de componentes con vulnerabilidades conocidas A9 - Leverage Security Frameworks and Libraries
A10-Configuración indebida de servidor web y de aplicación A10-Administración de configuración insegura A10-Falla de restricción de acceso a URL A10-Redirecciones y reenvíos no validados A10-Redirecciones y reenvíos no validados A10 - Error and Exception Handling

Referencias[editar]

  1. a b c «OWASP top 10-2013 Los diez Riesgos más Críticos en Aplicaciones Web». OWASP: 22. 2014. Consultado el 10 de mayo de 2014. 
  2. CWE/SANS Top 25. «2011 CWE/SANS Top 25 Most Dangerous Software Errors» (en inglés). Consultado el 20 de mayo de 2014. 
  3. OWASP. «OWASP Top 10» (en inglés). Consultado el 20 de mayo de 2014. 

Enlaces externos[editar]