Los diez riesgos más importantes en aplicaciones web (2010)
La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.
La edición del 2010 presenta las siguientes categorías:
1 -Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.
2 – Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.
3 – Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.
4 – Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
5 – Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control
de un atacante.
6 – Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.
7 – Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.
8 – Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.
9 – Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.
10 – Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.