16 noviembre 2009

Liberado OWASP Top10 2010 RC1

Durante la conferencia OWASP AppSec DC celebrada el 13 de noviembre se ha hecho público el primer borrador del famoso proyecto OWASP Top10 2010, que enumera los riesgos de seguridad más críticos en aplicaciones web. Espera ser finalizado el primer cuatrimestre del nuevo año.


La versión anterior es del año 2007 y sufrirá las siguientes modificaciones:


  • Añadido punto A6: "Security Misconfiguration", que aparecía en el 2004 en décimo puesto (como Insecurity Configuration), recupera sitio el próximo año.
  • Añadido punto A8: "Unvalidated Redirects and Forwards", es nuevo este año y hace referencia a las aplicaciones web que se valen de un parámetro web para redirigir el sitio a otra zona de la página web.
  • Eliminado punto A3: "Malicious File Execution" es eliminado de la lista ya que era algo que se da mucho en aplicaciones PHP, pero con las nuevas opciones de ejecución de este lenguaje su número ha disminuido.
  • Eliminado punto A6: "Information Leakage and Improper Error Handling" es eliminado pese a que su existencia es muy alta por su bajo impacto.
Referencias:

1.- Presentación OWASP AppSec DC - Top10 2010: http://www.owasp.org/images/a/a1/AppSec_DC_2009_-_OWASP_Top_10_-_2010_rc1.pptx
2.- Documento OWASP Top 10 - 2010 (RC1): http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf

2 comments :

Anónimo dijo...

no entiendo, porque el punto a8 se considera un fallo de seguridad o una mala practica?

Alejandro Ramos dijo...

@Anónimo, una vulnerabilidad, imagina que te mando un link del tipo

http://www.banco.com/index.jsp?redirect=http://www.bancoo.com

Cuando veas el dominio de la url pensarás que es correcto y corresponde a lo que buscas, pero realmente haces un redirect (o cargas un iframe) de un portal de un posible phisher...

Espero lo aclare...