Durante la conferencia OWASP AppSec DC celebrada el 13 de noviembre se ha hecho público el primer borrador del famoso proyecto OWASP Top10 2010, que enumera los riesgos de seguridad más críticos en aplicaciones web. Espera ser finalizado el primer cuatrimestre del nuevo año.
- Añadido punto A6: "Security Misconfiguration", que aparecía en el 2004 en décimo puesto (como Insecurity Configuration), recupera sitio el próximo año.
- Añadido punto A8: "Unvalidated Redirects and Forwards", es nuevo este año y hace referencia a las aplicaciones web que se valen de un parámetro web para redirigir el sitio a otra zona de la página web.
- Eliminado punto A3: "Malicious File Execution" es eliminado de la lista ya que era algo que se da mucho en aplicaciones PHP, pero con las nuevas opciones de ejecución de este lenguaje su número ha disminuido.
- Eliminado punto A6: "Information Leakage and Improper Error Handling" es eliminado pese a que su existencia es muy alta por su bajo impacto.
1.- Presentación OWASP AppSec DC - Top10 2010: http://www.owasp.org/images/a/a1/AppSec_DC_2009_-_OWASP_Top_10_-_2010_rc1.pptx
2.- Documento OWASP Top 10 - 2010 (RC1): http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf
2 comments :
no entiendo, porque el punto a8 se considera un fallo de seguridad o una mala practica?
@Anónimo, una vulnerabilidad, imagina que te mando un link del tipo
http://www.banco.com/index.jsp?redirect=http://www.bancoo.com
Cuando veas el dominio de la url pensarás que es correcto y corresponde a lo que buscas, pero realmente haces un redirect (o cargas un iframe) de un portal de un posible phisher...
Espero lo aclare...
Publicar un comentario