Las 10 principales vulnerabilidades para 2023 de Top 10 OWASP

owasp 2023

Prevenir siempre es mejor, invertir en Ciberseguridad nunca será mala inversión."

El documento OWASP Top 10 está principalmente escrito para desarrolladores y nace en el 2003 para la evaluación de riesgos de aplicaciones web. Aquí te presentamos un resumen:

  1. Broken Access Control - Proteger las aplicaciones contra el acceso no autorizado.
    Issue - Fallas en la lógica de la aplicación.

  2. Cryptographic Failures - Fallas criptográficas, se refieren a una mala implementación del crifrado o a una falta total de cifrado.
    Issue - Exponer datos confidenciales.

  3. Injection - La aplicación ejecuta comandos inesperados y no deseados.
    Issue - La inyección ocurre cuando la aplicación no puede distinguir la entrada maliciosa de su código.

  4. Insecure Design - Categoría nueva enfocada en el diseño de aplicaciones y fallas arquitectónicas.
    Issue - Los actores de amenazas sofisticados encuentran y explotan las fallas de diseño.

  5. Security Misconfiguration - Configuración incorrecta de los componentes de seguridad de una aplicación.
    Issue - Cómo abrir puertos innecesarios, no cambiar las contraseñas predeterminadas o dejar abiertos los depósitos de almacenamiento en la nube.

  6. Vulnerable and Outdated Components - Las aplicaciones web usan muchos componentes o bloques de construcción de fuentes externas (librerías, frameworks, funcionalidad de back-end y front-end).
    Issue - Estas vulnerabilidades provienen del uso de marcos o bibliotecas desactualizados que son fáciles de explotar.

  7. Identification and Authentication Failures - Las fallas en la autenticación y la administración de identidades hacen que las aplicaciones sean vulnerables a los actores de amenazas que se hacen pasar por usuarios legítimos.
    Issue - No establecer periodos de validez para las sesiones, permitir contraseñas débiles que son fáciles de adivinar y no limitar la tasa de intentos de inicio de sesión contra ataques automáticos.

  8. Software and Data Interity Failures - Categoría nueva hacer suposiciones predeterminadas erróneas dentro de las canalizaciones de desarrollo sobre la integridad del software.
    Issue - En el uso de complementos y librerías de fuentes externas, la falta de verificación de la integridad de estas fuentes presenta el riesgo de código malicioso, acceso no autorizado y compromiso.
  9. Security Logging and Monitoring Failures - El registro y la supervisión ayudan a proporcionar responsabilidad de seguridad, visibilidad de eventos, alertas de incidentes y análisis forense.
    Issue - Fallas en la capacidad para detectar y responder.

  10. Server - Side Request Forgery (SSRF) - Falsificación de solicitud del lado del servidor.
    Issue - Dado que las aplicaciones web requieren recursos externos, ocurre cuando los piratas informáticos pueden hacer que los servidores realicen solicitudes que ellos controlan.
OWASP


Para saber un poco más... ¡Contáctanos!






0 Comentarios

Déjanos un comentario