Para Omatech la seguridad es uno de los aspectos más importantes a tener en cuenta en el desarrollo de las aplicaciones.
OWASP , significa Proyecto de Seguridad de aplicaciones WEB en inglés y se trata de una organización sin ánimo de lucro, dedicada a proporcionar información práctica e imparcial sobre la seguridad de las aplicaciones. Esta comunidad en línea produce publicaciones, metodología y tecnologías en el campo de la seguridad de las aplicaciones WEB principalmente dirigida a desarrolladores de software, testesrs de software y especialistas en seguridad.
Estos riesgos sirven para orientar a nuestros desarrolladores y profesionales de la seguridad sobre las vulnerabilidades más críticas que se encuentran comúnmente las aplicaciones WEB, y sus recomendaciones para solucionarlas.
El Top 10 de OWASP es la lista de los 10 riesgos de aplicaciones web más vistas que se actualizaron en 2017 y son:
1. Inyección
Es una vulnerabilidad de las aplicaciones WEB, que afecta directamente a las bases de datos de la aplicación. Una inyección SQL, LDAP o CRLF consiste en insertar o en inyectar código SQL malicioso dentro de código SQL para alterar el funcionamiento normal y hacer que se ejecute el código “malicioso” dentro del sistema.
2. Pérdida de autenticación
Las vulnerabilidades relacionadas con la pérdida de autenticación son críticas en la seguridad de las aplicaciones y en especial de las aplicaciones WEB, ya que permiten a un usuario suplantar la personalidad de otro. Existen muchas situaciones en la que nos encontramos ante una aplicación WEB vulnerable a este tipo de ataque, pero la mayor parte de las veces se encuentran en la gestión de las contraseñas, la expiración de sesiones o el proceso de cierre de sesión.
3. Exposición a datos sensibles
Las aplicaciones WEB que no protegen adecuadamente los datos confidenciales, como datos financieros, nombres de usuario y contraseñas, o información de salud, podrían permitir a los atacantes acceder a dicha información para cometer fraudes o robar identidades.
4. Entradas XML
Este es un ataque contra una aplicación web que analiza la entrada XML *. Esta entrada puede hacer referencia a una entidad externa, intentando explotar una vulnerabilidad en el analizador. Una «entidad externa» en este contexto se refiere a una unidad de almacenamiento, como un disco duro. Se puede engañar a un analizador XML para que envíe datos a una entidad externa no autorizada, que puede pasar datos confidenciales directamente a un atacante.
5. Control de acceso
>
El control de acceso se refiere a un sistema que controla el acceso a la información o la funcionalidad. Los controles de acceso defectuosos permiten a los atacantes eludir la autorización y realizar tareas como si fueran usuarios privilegiados, como los administradores. Por ejemplo, una aplicación web podría permitir a un usuario cambiar la cuenta en la que inició sesión simplemente cambiando parte de una URL, sin ninguna otra verificación.
6. Mala configuración de la seguridad
Este riesgo se refiere a la implementación incorrecta de los controles destinados a mantener seguros los datos de la aplicación, como la mala configuración de los encabezados de seguridad, los mensajes de error que contienen información confidencial (fuga de información) y no los parches o los sistemas de actualización, los marcos y los componentes.
7. Secuencia de comandos en sitios cruzados (XSS)
Los ataques XSS tienen como objetivo el código (también llamado secuencia de comandos) de una página web que se ejecuta en el navegador del usuario, no en el servidor del sitio web. Cuando el usuario es atacado, se introducen secuencias de comandos maliciosas en su navegador que intentarán dañar su equipo. La variedad de ataques XSS es prácticamente ilimitada, pero los más comunes suelen ser la recopilación de datos personales, el redireccionamiento de las víctimas a sitios controlados por hackers o el control del equipo por parte de estos.
8. Deserialización insegura.
La deserialización insegura es una nueva vulnerabilidad propuesta por la comunidad de OWASP que aparece por primera vez en OWASP Top 10. Se trata de una vulnerabilidad que podría permitir la ejecución remota de código en servicios web.
9. Uso de componentes con vulnerabilidades conocidas
Con frecuencia, los desarrolladores no saben qué componentes de código abierto y de terceros están en sus aplicaciones, lo que dificulta la actualización de los componentes cuando se descubren nuevas vulnerabilidades. Los atacantes pueden explotar un componente inseguro para hacerse cargo del servidor o robar datos confidenciales.
El análisis de la composición del software realizado al mismo tiempo que el análisis estático puede identificar versiones inseguras de componentes.
Está vulnerabilidad está motivada en parte por el uso extendido de múltiples componentes en aplicaciones web así como el crecimiento que está teniendo IoT y las dificultades que presenta dicho modelo en cuanto a gestión de actualizaciones.
10. Insuficiente registro y monitoreo
El tiempo para detectar una violación se mide con frecuencia en semanas o meses. El registro insuficiente y la integración ineficaz con los sistemas de respuesta a incidentes de seguridad permiten a los atacantes girar a otros sistemas y mantener amenazas persistentes.
OWASP es el estándar emergente para la seguridad de aplicaciones Web..
https://www.owasp.org/
