Los 10 riesgos más importantes en aplicaciones web

internet


En el 2010 la OWASP (Open Web Application Security Project) publicó una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.
Aquí el ranking:

1. Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

2. Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

3. Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

4. Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

5. Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

6. Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

7. Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

8. Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

9. Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.

10. Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.
Publicar un comentario

Entradas populares de este blog

Java - Ejemplo de como consumir un Web Service

Java - Ejemplo de como crear un Web Service

Java: Primera aplicación web con Eclipse