lunes, 19 de abril de 2010

OWASP: Los diez riesgos más importantes en aplicaciones web (2010)

La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.

Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición y en 2007 se liberó la segunda.

Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (El número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

A1 – Inyecciones.

Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

A2 – Cross-site Scripting.

El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

A3 – Gestión defectuosa de sesiones y autenticación.

Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

A4 – Referencias directas a objetos inseguras.

Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

A5 – Cross-site Request Forgery.

Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

A6 – Ausencia de, o mala, configuración de seguridad.

Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

A7 – Almacenamiento con cifrado inseguro.

Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

A8 – Falta de restricciones en accesos por URL.

Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

A9 – Protección insuficiente de la capa de transporte.

Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.

A10 – Datos de redirecciones y destinos no validados.

Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.


David García
dgarcia@hispasec.com


Más información:

Sitio principal de OWASP
http://www.owasp.org/index.php/Main_Page

OWASP Top 10 for 2010 [PDF]
http://www.owasp.org/images/4/44/OWASP_Top_10_-_2010.pdf

No hay comentarios:

Publicar un comentario en la entrada