¿Que es OWASP? OWASP, que significa Open Web Application Security Project, es una organización sin fines de lucro que se dedica a mejorar la seguridad del software a través de su comunidad mundial de voluntarios. OWASP Top 10 es una lista de las diez vulnerabilidades de seguridad más críticas en aplicaciones web, según lo determinado por expertos de seguridad de todo el mundo. A continuación, se presenta una explicación detallada de cada una de estas vulnerabilidades:
1 Inyecciones de Código (SQL, RCE, XSS…): Esta vulnerabilidad ocurre cuando un atacante puede enviar datos maliciosos a un intérprete como parte de un comando o consulta. El atacante puede usarlo para hacer cosas como acceder a datos no autorizados, modificar o eliminar datos, o ejecutar comandos del sistema.
2 Broken Authentication and Session Management: Esta vulnerabilidad ocurre cuando las funciones de autenticación y sesión de una aplicación web no están implementadas correctamente, permitiendo a un atacante comprometer contraseñas, claves o tokens de sesión, o explotar otras fallas de implementación para asumir las identidades de otros usuarios.
3 Sensitive Data Exposure: Esta vulnerabilidad ocurre cuando una aplicación no protege adecuadamente los datos sensibles, como detalles de tarjetas de crédito, números de seguridad social y credenciales de inicio de sesión, lo que permite a los atacantes acceder a estos datos y utilizarlos para el robo de identidad, el fraude con tarjetas de crédito y otros delitos.
4 Entidades externas XML (XXE): Los atacantes pueden explotar vulnerabilidades de procesamiento de XML para interactuar con cualquier backend o sistema externo que la aplicación pueda acceder.
5 Control de acceso roto: Esta vulnerabilidad ocurre cuando las restricciones en lo que los usuarios autenticados pueden hacer no se aplican correctamente. Los atacantes pueden explotar estas fallas para acceder a funcionalidades y/o datos no autorizados.
6 Configuraciones de seguridad incorrectas: Este problema ocurre cuando una aplicación tiene configuraciones de seguridad incorrectas, como cuentas de administrador no seguras, paneles de administración accesibles al público, información de depuración no protegida, etc.
7 Cross-Site Scripting (XSS): Esta vulnerabilidad ocurre cuando una aplicación permite a un atacante enviar código malicioso a otro usuario, lo que puede resultar en el robo de información sensible, la realización de acciones en nombre del usuario u otros ataques.
8 Deserialización Insegura: Los atacantes pueden explotar la deserialización insegura para ejecutar código en el servidor, lanzar ataques, como ataques de repetición, inyección de código remoto (RCI), etc.
9 Componentes con vulnerabilidades conocidas: Esta vulnerabilidad ocurre cuando una aplicación utiliza componentes que tienen vulnerabilidades conocidas que pueden ser explotadas por un atacante. Los componentes pueden incluir bibliotecas, marcos de trabajo, módulos, etc.
10 Registro y monitoreos insuficientes: Esta vulnerabilidad ocurre cuando una aplicación no tiene un seguimiento, registro o monitoreo adecuado de las actividades de los usuarios y de la aplicación. Esto puede permitir a un atacante explotar otras vulnerabilidades en el sistema sin ser detectado.
