fbpx

Riesgos de seguridad en servidores para sitios y aplicativos Web

Riesgos de seguridad en servidores para sitios y aplicativos Web

El listado de principales riesgos de seguridad en sitios y aplicativos Web ha sido actualizado recientemente por el proyecto OWASP TOP 10

El proyecto OWASP Top 10 fue creado inicialmente para aumentar la conciencia de seguridad entre los desarrolladores, pero desde entonces ha crecido hasta convertirse en un estándar de seguridad internacional. La lista es el resultado de una cooperación entre la industria de la seguridad y la comunidad, hecha realidad por voluntarios de OWASP. Aquí la lista de OWASP Top 10 2017.

1. Inyección
2. Autenticación rota
3. Exposición a datos sensibles
4. XML Entidades externas (XXE) (NUEVO)
5. Control de acceso roto
6. Configuración incorrecta de seguridad
7. Scripting para todos los sitios (XSS)
8. Deserialización insegura (NUEVO)
9. Uso de componentes con vulnerabilidades conocidas
10. Insuficiente registro y monitoreo (NUEVO)

¿Qué hay de nuevo respecto a los listados anteriores?

OWASP Top 10 2017 trae tres nuevas vulnerabilidades y retira dos. A pesar de estos cambios, muchas vulnerabilidades de 2013 permanecen en la lista, haciendo que OWASP Top 10 2017 sea muy similar a su predecesor. En otras palabras, aunque han ocurrido muchas cosas desde 2013, los errores de seguridad más comunes siguen siendo los mismos.

Los tres recién llegados a la lista son XML Entidades externas (XXE), deserialización insegura, e insuficiente registro y monitoreo.

Otro cambio es la categoría control de acceso roto, que combina dos vulnerabilidades previamente separadas, control de acceso de nivel de función faltante y referencias de objeto directo inseguro.

¿Qué ha sido removido?

CSRF y Redirecciones y Forwards no validados no llegaron a la nueva lista ya que no son tan comunes como solían ser. CSRF sólo se encuentra en el 5% de las aplicaciones gracias a los frameworks que incluyen defensas CSRF, mientras que los Redirects y Forwards no validados se encuentran en el 8% de las aplicaciones. Basado en los datos de OWASP citados en el Release Candidate 2, las dos vulnerabilidades han caído a #13 y #25, respectivamente.

Las nuevas tecnologías y los nuevos enfoques para crear aplicaciones web han cambiado la seguridad web y el nuevo Top 10 de OWASP es una actualización oportuna que refleja los recientes desarrollos.

Muchas tecnologías se basan en XML, lo que hace que las empresas sean vulnerables a XXE aunque no lo esperen. Lo mismo ocurre con la Deserialización Insegura. Últimamente se ha investigado mucho para demostrar que la deserialización de varios objetos puede llevar a RCE en diferentes lenguajes de programación. Java, PHP, Ruby y Python están particularmente afectados por esto.

Más detalles sobre el OWAP top 10 2017 se encuentra en el sitio oficial del proyecto: https://www.owasp.org/index.php/Top_10-2017_Top_10

¿Necesita un servidor de hosting seguro para su sitio y aplicaciones Web? Conozca aquí cómo podemos ayudarle

Imagen: Ricardo Gomez Angel on Unsplash