Las 10 principales vulnerabilidades para 2023 de Top 10 OWASP
![owasp 2023 owasp 2023](images/blog/principal/owasp2023.jpg)
Prevenir siempre es mejor, invertir en Ciberseguridad nunca será mala inversión."
El documento OWASP Top 10 está principalmente escrito para desarrolladores y nace en el 2003 para la evaluación de riesgos de aplicaciones web. Aquí te presentamos un resumen:
- Broken Access Control - Proteger las aplicaciones contra el acceso no autorizado.
Issue - Fallas en la lógica de la aplicación. - Cryptographic Failures - Fallas criptográficas, se refieren a una mala implementación del crifrado o a una falta total de cifrado.
Issue - Exponer datos confidenciales. - Injection - La aplicación ejecuta comandos inesperados y no deseados.
Issue - La inyección ocurre cuando la aplicación no puede distinguir la entrada maliciosa de su código. - Insecure Design - Categoría nueva enfocada en el diseño de aplicaciones y fallas arquitectónicas.
Issue - Los actores de amenazas sofisticados encuentran y explotan las fallas de diseño. - Security Misconfiguration - Configuración incorrecta de los componentes de seguridad de una aplicación.
Issue - Cómo abrir puertos innecesarios, no cambiar las contraseñas predeterminadas o dejar abiertos los depósitos de almacenamiento en la nube. - Vulnerable and Outdated Components - Las aplicaciones web usan muchos componentes o bloques de construcción de fuentes externas (librerías, frameworks, funcionalidad de back-end y front-end).
Issue - Estas vulnerabilidades provienen del uso de marcos o bibliotecas desactualizados que son fáciles de explotar. - Identification and Authentication Failures - Las fallas en la autenticación y la administración de identidades hacen que las aplicaciones sean vulnerables a los actores de amenazas que se hacen pasar por usuarios legítimos.
Issue - No establecer periodos de validez para las sesiones, permitir contraseñas débiles que son fáciles de adivinar y no limitar la tasa de intentos de inicio de sesión contra ataques automáticos. - Software and Data Interity Failures - Categoría nueva hacer suposiciones predeterminadas erróneas dentro de las canalizaciones de desarrollo sobre la integridad del software.
Issue - En el uso de complementos y librerías de fuentes externas, la falta de verificación de la integridad de estas fuentes presenta el riesgo de código malicioso, acceso no autorizado y compromiso. - Security Logging and Monitoring Failures - El registro y la supervisión ayudan a proporcionar responsabilidad de seguridad, visibilidad de eventos, alertas de incidentes y análisis forense.
Issue - Fallas en la capacidad para detectar y responder. - Server - Side Request Forgery (SSRF) - Falsificación de solicitud del lado del servidor.
Issue - Dado que las aplicaciones web requieren recursos externos, ocurre cuando los piratas informáticos pueden hacer que los servidores realicen solicitudes que ellos controlan.
![OWASP OWASP](images/blog/principal/owasp2.jpg)
0 Comentarios