La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.

Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

A1 – Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

A2 – Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

A3 – Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

A4 – Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

A5 – Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

A6 – Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

A7 – Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

A8 – Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

A9 – Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red.  Elección de un cifrado débil o mala gestión de certificados.

A10 – Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

Fuente:

Más información:

Be Sociable, Share!