Los diez riesgos de seguridad más importantes en aplicaciones web
Las aplicaciones web son un elemento que usamos en nuestro día a día, para el caso de las empresas, son la conexión con el mundo y el pilar principal para su negocio. Para ello, OWASP lleva a cabo una compleja investigación para testear aplicaciones, detectar los ciber riesgos más comunes y recopilar las mejores prácticas en seguridad. Aquí te presentamos el top 10 de vulnerabilidades más actualizado:
Los diez riesgos de seguridad más importantes en aplicaciones web
Las aplicaciones web son un elemento que usamos en nuestro día a día, para el caso de las empresas, son la conexión con el mundo y el pilar principal para su negocio.
Para ello, OWASP lleva a cabo una compleja investigación para testear aplicaciones, detectar los ciber riesgos más comunes y recopilar las mejores prácticas en seguridad. Aquí te presentamos el top 10 de vulnerabilidades más actualizado:
A01: 2021-Control de acceso roto
Las restricciones en los niveles de permisos de los usuarios autenticados no siempre se aplican correctamente y hacen que los usuarios accedan a las cuentas de otros usuarios, cambien los permisos, vean datos confidenciales y modifiquen sus datos.
A02: 2021-Fallos criptográficos
Los especialistas en ciberseguridad utilizan la criptografía para crear algoritmos, texto cifrado y otras medidas de seguridad que codifican y protegen la información de la empresa y del consumidor. No obstante, cuando existen fallas criptográficas exponen datos confidenciales o el compromiso del sistema.
A03: 2021-Inyección
Cuando se interpretan datos que no son de confianza y se pueden inyectar en una consulta como SQL, Sistema Operativo, NoSQL, Cross Site Scripting (XSS). LDAP, lo que da como resultado la ejecución de comandos no deseados o el acceso no autorizado a la información.
A04: 2021-Diseño inseguro
El diseño inseguro ocurre cuando un proveedor agrega "características" documentadas a un producto que permiten que un atacante socave la disponibilidad o la integridad de la aplicación.
A05: 2021-Error de configuración de seguridad
Incluye el uso de valores predeterminados inseguros, configuración incompleta o ad hoc y mensajes de error detallados que contienen información confidencial. Todos los sistemas operativos, frameworks, aplicaciones y bibliotecas deben configurarse de forma segura y parchearse cuando sea posible. La categoría de XML External Entities (XXE) ahora forma parte de esta categoría de riesgo.
A06: 2021-Componentes vulnerables y obsoletos
Los componentes de la aplicación se ejecutan con el mismo nivel de acceso que la propia aplicación, por lo tanto, si se puede explotar una vulnerabilidad en un componente, puede comprometer las defensas de las aplicaciones contra los ataques. Anteriormente, se llamaba "Uso de componentes con vulnerabilidades conocidas".
A07: 2021-Fallos de identificación y autenticación
Cuando la autenticación y administración de usuarios se maneja incorrectamente, los atacantes pueden obtener acceso a claves, contraseñas, tokens de sesión o explotar el sistema para asumir la identidad de otros usuarios. Anteriormente, denominado como Autenticación rota.
A08: 2021-Fallas de integridad de software y datos
Se centra en hacer suposiciones sobre actualizaciones de software, datos esenciales y canalizaciones de CI/CD (continuous integration and continuous delivery/continuous deployment) sin validar la integridad. Esta categoría ahora incluye la deserialización insegura.
A09: 2021-Fallos de seguimiento y registro de seguridad
Sin un registro y monitoreo adecuado de un sistema interno y una respuesta ineficiente a incidentes, los atacantes pueden ingresar en un sistema y continuar obteniendo acceso a más sistemas y extraer, alterar o destruir información. El compromiso de un sitio web puede ser significativamente peor si no disponemos del mismo. Anteriormente, conocido como registro y monitoreo insuficientes.
A10: 2021-La falsificación de solicitudes del lado del servidor
La falsificación de solicitudes del lado del servidor o SSRF es una falla de seguridad web que permite a un atacante obligar a una aplicación del lado del servidor a enviar solicitudes HTTP a cualquier dominio que elija el atacante.
Gracias a OWASP, Compucloud utiliza este ranking como una guía para contribuir a sus clientes para que las aplicaciones web sean más seguras y estén preparados a hacer frente a cualquier ataque malicioso.
Contáctanos para cualquier duda o comentario que tengas.
Fecha de publicación: 11/4/2024
Autor: Ing. Adrián Morales | Consultor de soluciones
Estos blogs podrían interesarte
