OWASP Top 10
OWASP Top 10[1] es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la Fundación OWASP (en inglés, Open Web Application Security Project; en español "Proyecto Abierto de Seguridad de Aplicaciones Web")[2]. Esta lista se publica y actualiza cada tres o cuatro años por parte de la Fundación OWASP.
![Mapa comparativo de los OWASP Top 10 de los años 2017 y 2021.](http://upload.wikimedia.org/wikipedia/commons/thumb/7/73/OWASP_Comparison_2017_vs._2021.png/220px-OWASP_Comparison_2017_vs._2021.png)
El objetivo del proyecto OWASP Top 10 es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.[2] Asimismo, estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,[3] SANS, PCI DSS,[4] DISA, FCT.
Historia
editarOWASP Top 10 fue lanzado por primera vez en 2003, con actualizaciones en 2004, 2007, 2010, 2013, 2017 y 2021. La versión 2010 fue renovada para dar prioridad al riesgo, no sólo a la prevalencia. La edición 2013 siguió el mismo enfoque[2], mientras que en la edición del año 2021 se cambiaron algunos nombres de los riesgos para subrayar la causa principal del riesgo en vez del síntoma[5].
Hay una versión inicial del 2003 pero no hay detalles en la página del proyecto más que la lista de los riesgos de seguridad de ese entonces.
Entregas o actualizaciones del OWASP Top 10
editarOWASP Top 10 2003 | OWASP Top 10 2004 | OWASP Top 10 2007 | OWASP Top 10 2010 | OWASP Top 10 2013 | OWASP Top 10 2017 | OWASP Top 10 2021 |
---|---|---|---|---|---|---|
A1-Entrada no validada | A1-Entrada no validada | A1-Secuencia de comandos en sitios cruzados XSS | A1-Inyección | A1-Inyección | A1 - Inyección | A1 - Pérdida de control de acceso |
A2-Control de acceso interrumpido | A2-Control de acceso interrumpido | A2-Fallas de inyección | A2-Secuencia de comandos en sitios cruzados XSS | A2-Pérdida de autenticación y gestión de sesiones | A2 - Pérdida de Autenticación | A2 - Fallas criptográficas |
A3-Administración de cuentas y sesión interrumpida | A3-Administración de autenticación y sesión interrumpida | A3-Ejecución de ficheros malintencionados | A3-Pérdida de autenticación y gestión de sesiones | A3-Secuencia de comandos en sitios cruzados XSS | A3 - Exposición de datos sensibles | A3 - Inyección |
A4-Fallas de cross site scripting XSS | A4-Fallas de cross site scripting XSS | A4-Referencia insegura y directa a objetos | A4-Referencia directa insegura a objetos | A4-Referencia directa insegura a objetos | A4 - Entidades Externas XML (XXE) | A4 - Diseño inseguro (nueva categoría) |
A5-Desbordamiento de bufer | A5-Desbordamiento de bufer | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Configuración de seguridad incorrecta | A5 - Pérdida de Control de Acceso | A5 - Configuración de seguridad incorrecta |
A6-Fallas de inyección de comandos | A6-Fallas de inyección | A6-Revelación de información y gestión incorrecta de errores | A6-Defectuosa configuración de seguridad | A6-Exposición de datos sensibles | A6 - Configuración de Seguridad Incorrecta | A6 - Componentes vulnerables y desactualizados |
A7-Problemas de manejo de errores | A7-Manejo inadecuado de errores | A7-Pérdida de autenticación y gestión de sesiones | A7-Almacenamiento criptográfico inseguro | A7-Ausencia de control de acceso a las funciones | A7 - Secuencia de Comandos en Sitios Cruzados (XSS) | A7 - Fallas de identificación y autenticación |
A8-Uso inseguro de criptografía | A8-Almacenamiento inseguro | A8-Almacenamiento criptográfico inseguro | A8-Falla de restricción de acceso a URL | A8-Falsificación de peticiones en sitios cruzados CSRF | A8 - Deserialización Insegura | A8 - Fallas en el software y en la integridad de los datos (nueva categoría) |
A9-Fallas de administración remota(no aplicable) | A9-Negación de servicio | A9-Comunicaciones inseguras | A9-Protección insuficiente en la capa de transporte | A9-Uso de componentes con vulnerabilidades conocidas | A9 - Componentes con vulnerabilidades conocidas | A9 - Fallas en el registro y monitoreo |
A10-Configuración indebida de servidor web y de aplicación | A10-Administración de configuración insegura | A10-Falla de restricción de acceso a URL | A10-Redirecciones y reenvíos no validados | A10-Redirecciones y reenvíos no validados | A10 - Registro y Monitoreo Insuficientes | A10 - Falsificación de solicitudes del lado del servidor (SSRF) |
Referencias
editar- ↑ «OWASP-TOP 10 Archives». Blog (en inglés británico). Consultado el 5 de julio de 2020.
- ↑ a b c «OWASP top 10-2013 Los diez Riesgos más Críticos en Aplicaciones Web». OWASP: 22. 2014. Consultado el 10 de mayo de 2014.
- ↑ CWE/SANS Top 25. «2011 CWE/SANS Top 25 Most Dangerous Software Errors» (en inglés). Consultado el 20 de mayo de 2014.
- ↑ «Requisitos y procedimientos de evaluación de seguridad.». PCI Security Standards Council. Mayo de 2018.
- ↑ «Inicio - OWASP Top 10:2021». owasp.org. Consultado el 29 de junio de 2022.
Enlaces externos
editar- https://owasp.org/ Página principal de la Fundación OWASP
- https://owasp.org/www-pdf-archive/ Repositorio de archivos PDF de OWASP
- https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf.pdf OWASP Top 10 - 2017 (en castellano).
- https://web.archive.org/web/20140527071240/https://www.owasp.org/index.php/Main_Page Página principal de la Fundación OWASP (Web Archive).
- https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf OWASP Top 10 - 2017.
- https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10-2013.
- https://www.owasp.org/images/2/2d/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pdf OWASP Top 10-2010.
- https://www.owasp.org/images/a/ae/OWASP_Top_10_2007_Spanish.pdf OWASP Top 10-2007.
- https://www.owasptopten.org/ The OWASP Top Ten
- https://www.owasp.org/index.php/Top_10_2004 OWASP Top 10-2004.
- https://www.owasp.org/index.php/2004_Updates_OWASP_Top_Ten_Project OWASP Top 10-2004 y Owasp top 10-2003.
- https://cwe.mitre.org/top25/ CWE/SANS Top 25 Most Dangerous Software Errors.
- http://www.webappsec.org/ Web Application Security Consortium.