22 octubre 2010

Documento OWASP Top Ten 2010 en castellano


Desde 2004, OWASP cuenta con un proyecto denominado OWASP Top Ten, mediante el cual se pretende recopilar los diez tipos de vulnerabilidades en aplicaciones web que suponen el mayor riesgo para su seguridad. Es un documento que se actualiza cada cierto tiempo, dependiendo de las tendencias y tras un proceso de consenso al que llegan varios profesionales de la seguridad en aplicaciones web.

El presente es la web, el futuro lo seguirá siendo así como su consumo, y por ello, cada vez más los ataques más críticos se seguirán centrando en esta plataforma, sobretodo sabiendo que tanta tanta tanta gente está al otro lado, hace clic en cualquier enlace llamativo, utilizan navegadores contaminados y la concienciación en seguridad durante la navegación todavía se encuentra en niveles bajos.

En 2004 fue la primera edición, seguidamente en 2007 y hasta este año, 2010, que se ha publicado la última versión de este documento, y que se anunció el 19 de Abril de 2010 mediante una nota de prensa que podréis ver en este enlace.

Las diez vulnerabilidades más críticas que se han recogido en la versión del 2010 son las siguientes:

  1. Inyección
  2. Secuencia de Comandos en Sitios Cruzados (XSS)
  3. Pérdida de Autenticación y Gestión de Sesiones
  4. Referencia Directa Insegura a Objetos
  5. Falsificación de Peticiones en Sitios Cruzados (CSRF)
  6. Defectuosa Configuración de Seguridad
  7. Almacenamiento Criptográfico Inseguro
  8. Falla de Restricción de Acceso a URL
  9. Protección Insuficiente en la Capa de Transporte
  10. Redirecciones y reenvíos no validados

Entre edición y edición se aprecian variaciones, en unas ocasiones algunos de los controles se eliminan, dejando paso a tipos de vulnerabilidades que vengan "pisando fuerte".

Para cada uno de los riesgos, y lejos de la guía tradicional de pruebas OWASP, se dedica una única hoja en la que se responden a varias preguntas, que nos harán determinar si somos vulnerables a tal riesgo (¿Soy Vulnerable?), ejemplos gráficos (Ejemplos de escenarios de ataque), formas y consejos sobre como evitar estos riesgos (¿Cómo puedo evitar esto?) y multitud de referencias (tanto dentro del proyecto OWASP como externas).


En las últimas secciones del documento, se enumeran los siguientes pasos que deberían tomar tanto desarrolladores, como auditores así como las propias organizaciones frente a estos riesgos en caso de existir o para evitarlos. 

Lectura recomendada para TODOS, que encima es GRATIS.