La OWASP (Open Web Application Security Project) publicó una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.
[Top Ten 2013] La edición del 2013 presenta las siguientes categorías:
- [A1] Inyecciones.- Vulnerabilidades de inyección de código, desde SQL o comandos del sistema hasta LDAP, ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta.
- [A2] Pérdida de autenticación y gestión de sesiones.- Comprende errores y fallos en las funciones de gestión de sesiones y autenticación. Se produce cuando las funciones de la aplicación relacionadas con la autenticación y la gestión de sesiones no se implementan correctamente.
- [A3] Cross-Site Scripting (XSS) .- Sigue siendo una de las vulnerabilidades más extendidas y a la par subestimada.
- [A4] Referencias directas inseguras a objetos .- Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
- [A5] Configuración de seguridad incorrecta.- Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web.
- [A6] Exposición de datos sensibles .- Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación.
- [A7] Ausencia de control de acceso a funciones.- Trata de la falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas. Aunque ahora se refiere tanto a URLs como a los datos que se pasan a funciones de la propia aplicación.
- [A8] Falsificación de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF)- Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.
- [A9] Utilización de componentes con vulnerabilidades conocidas .- Se refiere al uso de componentes tales como librerías, frameworks y otros módulos de software, que en muchas ocasiones funcionan con todos los privilegios.
- [A10] Redirecciones y reenvíos no validados.- Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.
- Sitio principal de OWASP http://www.owasp.org/
- OWASP Top 10 for 2013 [PDF] https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Español.pdf
- Una-al-dia (19/04/2010) OWASP: Los diez riesgos más importantes en aplicaciones web (2010) http://unaaldia.hispasec.com/2010/04/la-owasp-open-web-application-security.html