OWASP (Open Web Application Security Project) ha publicado una nueva edición del ranking de los riesgos más importantes que afectan a las aplicaciones web, anteriormente publicado en 2007. Su misión es concienciar a la industria sobre los riesgos de seguridad que pueden afectar a sus activos y producir un impacto en la continuidad de sus negocios, lastrando así la consecución de sus objetivos, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.
Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición y en 2007 se liberó la segunda. La organización hace saber que se precisa de un plan de seguridad que cubra todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.
La metodología utilizada en el top 10 de este año difiere de la de otras ediciones al no ser estimada la amenaza por su frecuencia si no atendiendo a factores como el vector, el predominio, la detectabilidad y el impacto. La edición del 2010 presenta las siguientes categorías:
A1 - Inyecciones: Vulnerabilidades de inyección de código, SQL, comandos del sistema, etc., de modo que la información hostil enviada por el atacante engaña al intérprete para que ejecute comandos no intencionados o acceda a información no autorizada.
A2 - Cross-site Scripting (XSS): El anterior número uno. Una de las vulnerabilidades más extendidas y subestimadas. XSS permitirá al atacante ejecutar scripts en el navegador de la víctima para secuestrar sus sesiones abiertas, redirigirlo a sitios web maliciosos, etc.
A3 - Gestión defectuosa de sesiones y autenticación: Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación, de modo que los atacantes pueden comprometer contraseñas, tokens, o explotar fallos de implementación para asumir la identidad de otros usuarios.
A4 - Referencias directas inseguras a objetos: Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente de modo que el atacante puede manipular estas referencias para acceder a información no autorizada.
A5 – Cross-Site Request Forgery: Se mantiene en el mismo puesto que en la edición de 2007. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante. Envía una sesión HTTP con el Cookie y cualquier otra información de autenticación automatizada.
A6 – Ausencia de, o mala, configuración de seguridad: Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo, el servidor de la base de datos, la plataforma o el servidor web. Esto incluye la actualización del software para mantenerlo al día.
A7 – Almacenamiento con cifrado inseguro: Muchas aplicaciones no protegen, con la encriptación adecuada o hashing, informaciones sensibles como pueden serlo tarjetas de crédito, SSNs y otras credenciales de autenticación. Los atacantes pueden robar esta información para llevar a cabo hurtos de identidad, fraudes de tarjetas de crédito u otros delitos.
A8 – Falta de restricciones en accesos por URL: Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.
A9 – Protección insuficiente de la capa de transporte: Hay aplicaciones que en muchas ocasiones fallan a la hora de encriptar y proteger la confidencialidad y la integridad de tráfico sensible en las redes. Cuando lo hacen, a veces se apoyan en algoritmos débiles, certificados inválidos o caducados, o lo hacen incorrectamente.
A10 – Datos de redirecciones y destinos no validados: Errores en el tratamiento de redirecciones y uso de datos no confiables como destino. Con una validación errónea del destino el atacante puede redirigir a las víctimas a páginas de phishing o malware.
OWASP
Fuente: http://www.owasp.org/images/4/44/OWASP_Top_10_-_2010.pdf
