OWASP Top 10
OWASP Top 10[1] es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la Fundación OWASP (en inglés, Open Web Application Security Project; en español "Proyecto Abierto de Seguridad de Aplicaciones Web")[2]. Esta lista se publica y actualiza cada tres o cuatro años por parte de la Fundación OWASP.
El objetivo del proyecto OWASP Top 10 es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.[2] Así mismo, estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,[3] SANS, PCI DSS[4], DISA, FCT.
Historia
OWASP Top 10 fue lanzado por primera vez en 2003, con actualizaciones en 2004, 2007, 2010, 2013, 2017 y 2021. La versión 2010 fue renovada para dar prioridad al riesgo, no sólo a la prevalencia. La edición 2013 siguió el mismo enfoque[2], mientras que en la edición del año 2021 se cambiaron algunos nombres de los riesgos para subrayar la causa principal del riesgo en vez del síntoma[5].
Hay una versión inicial del 2003 pero no hay detalles en la página del proyecto más que la lista de los riesgos de seguridad de ese entonces.
Entregas o actualizaciones del OWASP Top 10
| OWASP Top 10 2003 | OWASP Top 10 2004 | OWASP Top 10 2007 | OWASP Top 10 2010 | OWASP Top 10 2013 | OWASP Top 10 2017 | OWASP Top 10 2021 |
|---|---|---|---|---|---|---|
| A1-Entrada no validada | A1-Entrada no validada | A1-Secuencia de comandos en sitios cruzados XSS | A1-Inyección | A1-Inyección | A1 - Inyección | A1 - Pérdida de control de acceso |
| A2-Control de acceso interrumpido | A2-Control de acceso interrumpido | A2-Fallas de inyección | A2-Secuencia de comandos en sitios cruzados XSS | A2-Pérdida de autenticación y gestión de sesiones | A2 - Pérdida de Autenticación | A2 - Fallas criptográficas |
| A3-Administración de cuentas y sesión interrumpida | A3-Administración de autenticación y sesión interrumpida | A3-Ejecución de ficheros malintencionados | A3-Pérdida de autenticación y gestión de sesiones | A3-Secuencia de comandos en sitios cruzados XSS | A3 - Exposición de datos sensibles | A3 - Inyección |
| A4-Fallas de cross site scripting XSS | A4-Fallas de cross site scripting XSS | A4-Referencia insegura y directa a objetos | A4-Referencia directa insegura a objetos | A4-Referencia directa insegura a objetos | A4 - Entidades Externas XML (XXE) | A4 - Diseño inseguro (nueva categoría) |
| A5-Desbordamiento de bufer | A5-Desbordamiento de bufer | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Configuración de seguridad incorrecta | A5 - Pérdida de Control de Acceso | A5 - Configuración de seguridad incorrecta |
| A6-Fallas de inyección de comandos | A6-Fallas de inyección | A6-Revelación de información y gestión incorrecta de errores | A6-Defectuosa configuración de seguridad | A6-Exposición de datos sensibles | A6 - Configuración de Seguridad Incorrecta | A6 - Componentes vulnerables y desactualizados |
| A7-Problemas de manejo de errores | A7-Manejo inadecuado de errores | A7-Pérdida de autenticación y gestión de sesiones | A7-Almacenamiento criptográfico inseguro | A7-Ausencia de control de acceso a las funciones | A7 - Secuencia de Comandos en Sitios Cruzados (XSS) | A7 - Fallas de identificación y autenticación |
| A8-Uso inseguro de criptografía | A8-Almacenamiento inseguro | A8-Almacenamiento criptográfico inseguro | A8-Falla de restricción de acceso a URL | A8-Falsificación de peticiones en sitios cruzados CSRF | A8 - Deserialización Insegura | A8 - Fallas en el software y en la integridad de los datos (nueva categoría) |
| A9-Fallas de administración remota(no aplicable) | A9-Negación de servicio | A9-Comunicaciones inseguras | A9-Protección insuficiente en la capa de transporte | A9-Uso de componentes con vulnerabilidades conocidas | A9 - Componentes con vulnerabilidades conocidas | A9 - Fallas en el registro y monitoreo |
| A10-Configuración indebida de servidor web y de aplicación | A10-Administración de configuración insegura | A10-Falla de restricción de acceso a URL | A10-Redirecciones y reenvíos no validados | A10-Redirecciones y reenvíos no validados | A10 - Registro y Monitoreo Insuficientes | A10 - Falsificación de solicitudes del lado del servidor (SSRF) |
Referencias
- «OWASP-TOP 10 Archives». Blog (en inglés británico). Consultado el 5 de julio de 2020.
- «OWASP top 10-2013 Los diez Riesgos más Críticos en Aplicaciones Web». OWASP: 22. 2014. Consultado el 10 de mayo de 2014.
- CWE/SANS Top 25. «2011 CWE/SANS Top 25 Most Dangerous Software Errors» (en inglés). Consultado el 20 de mayo de 2014.
- «Requisitos y procedimientos de evaluación de seguridad.». PCI Security Standards Council. Mayo de 2018.
- «Inicio - OWASP Top 10:2021». owasp.org. Consultado el 29 de junio de 2022.
Enlaces externos
- https://owasp.org/ Página principal de la Fundación OWASP
- https://owasp.org/www-pdf-archive/ Repositorio de archivos PDF de OWASP
- https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf.pdf OWASP Top 10 - 2017 (en castellano).
- https://web.archive.org/web/20140527071240/https://www.owasp.org/index.php/Main_Page Página principal de la Fundación OWASP (Web Archive).
- https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf OWASP Top 10 - 2017.
- https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10-2013.
- https://www.owasp.org/images/2/2d/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pdf OWASP Top 10-2010.
- https://www.owasp.org/images/a/ae/OWASP_Top_10_2007_Spanish.pdf OWASP Top 10-2007.
- https://www.owasptopten.org/ The OWASP Top Ten
- https://www.owasp.org/index.php/Top_10_2004 OWASP Top 10-2004.
- https://www.owasp.org/index.php/2004_Updates_OWASP_Top_Ten_Project OWASP Top 10-2004 y Owasp top 10-2003.
- https://cwe.mitre.org/top25/ CWE/SANS Top 25 Most Dangerous Software Errors.
- http://www.webappsec.org/ Web Application Security Consortium.