El Proyecto OWASP es una comunidad abierta dedicada a mejorar la seguridad de las aplicaciones web. Su principal aporte es identificar y abordar las vulnerabilidades comunes para ayudar a los desarrolladores a crear software más seguro. El Top 10 de OWASP enumera las 10 vulnerabilidades más comunes encontradas en las aplicaciones web y ofrece recomendaciones para prevenirlas.
0 calificaciones0% encontró este documento útil (0 votos)
91 vistas8 páginas
El Proyecto OWASP es una comunidad abierta dedicada a mejorar la seguridad de las aplicaciones web. Su principal aporte es identificar y abordar las vulnerabilidades comunes para ayudar a los desarrolladores a crear software más seguro. El Top 10 de OWASP enumera las 10 vulnerabilidades más comunes encontradas en las aplicaciones web y ofrece recomendaciones para prevenirlas.
El Proyecto OWASP es una comunidad abierta dedicada a mejorar la seguridad de las aplicaciones web. Su principal aporte es identificar y abordar las vulnerabilidades comunes para ayudar a los desarrolladores a crear software más seguro. El Top 10 de OWASP enumera las 10 vulnerabilidades más comunes encontradas en las aplicaciones web y ofrece recomendaciones para prevenirlas.
El Proyecto OWASP es una comunidad abierta dedicada a mejorar la seguridad de las aplicaciones web. Su principal aporte es identificar y abordar las vulnerabilidades comunes para ayudar a los desarrolladores a crear software más seguro. El Top 10 de OWASP enumera las 10 vulnerabilidades más comunes encontradas en las aplicaciones web y ofrece recomendaciones para prevenirlas.
Descargue como PDF, TXT o lea en línea desde Scribd
Descargar como pdf o txt
Está en la página 1de 8
PROYECTO OWASP
Desarrollo Web ING. Gustavo Menéndez
192169 - CRISTIAN EMANUEL MORALES MUÑOZ
[Dirección de correo electrónico] INDICE Introducción .................................................................................................... 2 ¿QUE ES PROYECTO OWASP? .......................................................................... 3 ¿Cuál es su principal aporte?........................................................................... 3 ¿Qué es el top ten de OWASP? ....................................................................... 3 TOP TEN OWASP ............................................................................................. 4 A01: 2021-Control de acceso roto ................................................................ 4 A02: 2021-Fallas criptográficas .................................................................... 4 A03: 2021-Inyección ..................................................................................... 4 A04: 2021-Diseño inseguro .......................................................................... 4 A05: 2021-Configuración errónea de seguridad ........................................... 5 A06: 2021-Componentes vulnerables y obsoletos ....................................... 5 A07: 2021-Fallas de identificación y autenticación ....................................... 5 A08: 2021-Fallas de integridad de software y datos ..................................... 5 A09: 2021-Fallas de registro y monitoreo de seguridad ............................... 6 A10: 2021-Falsificación de solicitudes del lado del servidor ......................... 6 Conclusión....................................................................................................... 7 Introducción
Se les presenta una explicación de lo que es el proyecto OWASP,
con la idea de explicar y ayudar a entender de una forma correcta la función que tiene en la web como los aportes también comentando sobre el top OWASP ¿QUE ES PROYECTO OWASP?
Esta es una técnica de seguridad colaborativa de código abierto que se utiliza
como referencia para la auditoría de seguridad de las aplicaciones web. Esta es una comunidad de desarrolladores de tecnología dedicada a mejorar el software a través de herramientas y recursos. El Proyecto de seguridad de aplicaciones web abiertas es una comunidad abierta que tiene como objetivo permitir que las organizaciones creen, adquieran y mantengan aplicaciones confiables. La Fundación OWASP es una organización sin ánimo de lucro que garantiza el éxito a largo plazo de los proyectos. Casi todos los involucrados con OWASP son voluntarios. En acrónimo (Open Web Application Security Project), el Open Web Application Security Project es un proyecto de código abierto dedicado a identificar y abordar la causa raíz de la inseguridad del software.
¿Cuál es su principal aporte?
Su principal aporte por lo que estuve leyendo es se mantiene en contra de las vulnerabilidades que existen y buscando nuevas en cualquier aplicación web ya que tienen procesos de como contener o detener todas estas vulnerabilidades y también les pide a sus desarrolladoras que tengan buenas prácticas en su código para eliminar toda tipo de vulnerabilidad
¿Qué es el top ten de OWASP?
Este es el proyecto owasp más famoso y el más importante. Este documento contiene las 10 vulnerabilidades más comunes y también incluye formas de detenerlas y prevenirlas. Este top que verán se publico en 2021 y tiene diferentes cambios a la versión del 2017. TOP TEN OWASP A01: 2021-Control de acceso roto En el anterior Top 10 de vulnerabilidades de aplicaciones web de 2017, este riesgo ocupó el quinto lugar. Sin embargo, en los últimos estudios realizados por OWASP, este riesgo se probó en 94% de las aplicaciones analizadas, con una incidencia del 3,81%.
Esta categoría se relaciona con vulnerabilidades encontradas en
implementaciones de controles de autenticación y autorización. En otras palabras, la función del control de acceso en las aplicaciones web es evitar que los usuarios realicen acciones no autorizadas.
A02: 2021-Fallas criptográficas
Cambiar la ubicación al #2, anteriormente conocido como Exposición de datos confidenciales, es la causa de todo el sistema en lugar de la causa raíz. El nuevo enfoque aquí está en las fallas criptográficas que conducen a la exposición de datos confidenciales o al compromiso del sistema. A03: 2021-Inyección Estuve investigando y era esta de las primeras del top 10 pero aún sigue altamente vulnerable A través de vulnerabilidades de seguridad, los atacantes pueden aprovechar la falta de filtrado o limpieza adecuada de los datos de entrada para modificar el código de las funciones de la aplicación. De esta forma, se ejecutan acciones o se devuelve información de forma inesperada. Este tipo de vulnerabilidad suele tener un impacto significativo en la seguridad de una aplicación web. A04: 2021-Diseño inseguro Estas vulnerabilidades son difíciles de solucionar una vez que se completa el desarrollo. Tanto por la complejidad de la tarea como por los costes adicionales que conlleva. En este sentido, OWASP destaca una distinción que conviene señalar. A05: 2021-Configuración errónea de seguridad La arquitectura de una aplicación web se basa en una gran cantidad de elementos, los cuales tienen muchas opciones de configuración diferentes. Servidores, frameworks, sistemas de gestión de datos, CMS, plugins, APIs... Todos estos elementos pueden formar parte de la arquitectura que potencia la aplicación. Y dar lugar a agujeros de seguridad si tienen una configuración incorrecta o si la configuración predeterminada no cumple con los estándares de seguridad adecuados. A06: 2021-Componentes vulnerables y obsoletos Los componentes vulnerables se sabín que usaba componentes con vulnerabilidades conocidas, ocupó el segundo lugar en el Top 10 según la encuesta de la comunidad, pero también tiene suficientes datos para ingresar al Top 10 a través del análisis de datos. Esta categoría saltó del noveno lugar en la edición de 2017 y es un problema conocido por ser difícil de probar y evaluar. Esta es la única categoría que no incluye ningún CVE relacionado con CVE, por lo que la vulnerabilidad predeterminada y el peso de impacto de 5.0 se tienen en cuenta en su puntuación. A07: 2021-Fallas de identificación y autenticación Esta fue conocida como la famosa pérdida de autenticidad, cayó del segundo lugar y ahora incluye CWE, que está más relacionado con la falla de validación. Esta categoría permanece firmemente en el Top 10, pero la creciente disponibilidad de marcos estandarizados parece estar ayudando. A08: 2021-Fallas de integridad de software y datos Es una nueva categoría para la versión 2021 que se enfoca en hacer suposiciones con respecto a las actualizaciones de software, los datos críticos y la canalización de CI/CD sin verificaciones de integridad. Corresponde a uno de los impactos más significativos bajo el sistema de calificación de vulnerabilidades (CVE/CVSS, siglas de Common Vulnerability and Exposures/Common Vulnerability Scoring System). Antes la (A8:2017: la resolución a prueba de fallas) en esta versión se incluye en esta categoría de riesgo principal. A09: 2021-Fallas de registro y monitoreo de seguridad Se decía que era Insuficiente Registro y Monitoreo y se agrega de la empresa de la industria (# 3), subiendo desde el # 10 anteriormente. Esta categoría se amplía para incluir más consejos de falas, es difícil de probar y no está bien representada en los datos Como indican Óscar Mallo y José Rabal, la trazabilidad de los eventos que ocurren en la aplicación es esenciall. En primer lugar, para bloquear amenazas. Y, en segundo, para investigar incidentes de seguridad que hayan tenido lugar y, así, evitar que vuelvan a producirse y poder concretar qué posibles activos se han visto comprometidos. De ahí que esta categoría tenga por objetivo ayudar a los profesionales a detectar, escalar y responder a violaciones activas. Los fallos en el registro, la detección, la supervisión y la respuesta activa frente a los ataques se pueden producir c A10: 2021-Falsificación de solicitudes del lado del servidor
Estos tipos de vulnerabilidades ocurren cuando un atacante tiene la
capacidad de obligar a un servidor a establecer una conexión a objetivos que no estaban previstos originalmente. De esta forma, el atacante se aprovecha de la posición privilegiada del servidor en la infraestructura. Agregado de la encuesta de la comunidad Top 10 (primer lugar). Los datos muestran una prevalencia relativamente baja con una cobertura de prueba superior a la media, así como calificaciones superiores a la media para la explotación y el impacto. Esta categoría representa una situación en la que los miembros de la comunidad de seguridad nos dicen que es importante, aunque no esté visible en los datos en este momento. Conclusión - Con esta información se trato de mostrar y explicar lo que trata el proyecto OWASP y tomar en cuenta mucha precaución del top OWASP que va cambiando año por año para los Desarrolladores - Tener en cuenta que en cualquier momento se puede aparecer una vulnerabilidad y por eso se busca que los desarrolladores tengan en cuenta los pasos necesarios para tener un control sobre toda la información y cualquier vulnerabilidad cercana