Ya está disponible la versión en castellano de OWASP Top Ten 2010

Open Web Application Security Project (OWASP) es una organización sin ánimo de lucro que pretende mejorar la seguridad en el desarrollo de software. Desde el año 2004, OWASP cuenta con un proyecto denominado OWASP Top Ten, con el cual se pretende recopilar los diez tipos de vulnerabilidades en aplicaciones web que suponen el mayor riesgo para su seguridad. Es un documento que se actualiza cada cierto tiempo, dependiendo de las tendencias y tras un proceso de consenso al que llegan varios profesionales de la seguridad en aplicaciones web.

El uso extendido actual y futuro de aplicaciones web, hace pensar que los ataques más críticos se seguirán centrando en este tipo de plataforma, sobretodo teniendo en cuenta que la concienciación en seguridad durante la navegación todavía se encuentra en niveles bajos.

En el año 2004 se publicó la primera edición, seguidamente en el 2007 y hasta este año, 2010, que se ha publicado la última versión de este documento, y que se anunció el 19 de Abril de 2010. Recientemente se ha publicado la versión en castellano del informe 2010.

Las diez vulnerabilidades más críticas que se han recogido en la versión del 2010 son las siguientes:

  1. Inyección
  2. Secuencia de Comandos en Sitios Cruzados (XSS)
  3. Pérdida de Autenticación y Gestión de Sesiones
  4. Referencia Directa Insegura a Objetos
  5. Falsificación de Peticiones en Sitios Cruzados (CSRF)
  6. Defectuosa Configuración de Seguridad
  7. Almacenamiento Criptográfico Inseguro
  8. Fallo de Restricción de Acceso a URL
  9. Protección Insuficiente en la Capa de Transporte
  10. Redirecciones y reenvíos no validados

Para cada uno de los riesgos, se dedica una única hoja en la que se responden a varias preguntas, que nos harán determinar si somos vulnerables a tal riesgo (¿Soy Vulnerable?), ejemplos gráficos (Ejemplos de escenarios de ataque), formas y consejos sobre como evitar estos riesgos (¿Cómo puedo evitar esto?) y multitud de referencias (tanto dentro del proyecto OWASP como externas).

En las últimas secciones del documento, se enumeran los siguientes pasos que deberían tomar tanto desarrolladores, como auditores así como las propias organizaciones frente a estos riesgos en caso de existir o para evitarlos.

Os recomendamos a consultar el informe.

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: