Professional Documents
Culture Documents
RC
AVISO IMPORTANTE
Solicitud de observaciones.
OWASP planea lanzar la versin pblica final del OWASP Top 10 2017 en Julio o Agosto del 2017 luego
del perodo final del 30 de Junio del 2017.
Este lanzamiento del Top10 de OWASP marca el dcimo cuarto ao de incrementar la concientizacin de
la importancia de los riesgos de seguridad en las aplicaciones. Esta liberacin contina la actualizacin del
2013, cuyos principales cambios fueron agregados en "Uso de Componentes Conocidos Vulnerables"
2013-A9. Nos complace ver que desde el lanzamiento del Top 10 en el 2013, todo el ecosistema de las
herramientas libres y comerciales ha crecido para ayudar a combatir ste problema con el uso de
componentes de cdigo abierto, ha continuado con una expansin prcticamente en cada lenguaje de
programacin. La informacin tambin sugiere el uso de componentes conocidos vulnerables sigue
predominante, no tan generalizado como antes. Creemos que la concientizacin de ste Top 10 OWASP
generado en el 2013 ha contribuido a ambos cambios.
Tambin notamos que desde que el CSRF fue presentado en el Top 10 en el 2017, fue descartado como
una vulnerabilidad extendida a una no muy comn. Muchos frameworks incluyen automatizacin de
defensas contra CSRF lo cual ha contribuido significativamente a su rechazo aproximado, junto con mucha
concientizacin de los desarrolladores que deben protegerse contra esos ataques.
Los comentarios constructivos sobre ste OWASP Top 10 - 2017RC, deben enviarse por email a
OWASPTopTen@lists.owasp.org. Los comentarios privados pueden enviarse a dave.wichers@owasp.org.
Los comentarios annimos son bien recibidos. Todos los comentarios no-privados sern catalogados y
publicados al mismo tiempo que la versin final. Los comentarios que recomienden cambios a los tems
listados en el Top 10 deben incluir una lista completa de sugerencias de los 10 tems, acompaado con una
base racional para cualquier cambio. Todos los comentarios deben indicar la pgina y seccin relevante.
Continuando con la publicacin final del Top 10 de OWASP -2017, el trabajo colaborativo de la comunidad
de OWASP continuar con actualizaciones de soporte a los documentos incluidos en la wiki de OWASP, La
Gua de los Desarrolladores OWASP, Gua de Verificaciones de OWASP, Gua de Revisin de Cdigos
OWASP, y la Hoja Rpida de Prevencin OWASP, junto con las traducciones del Top 10 a diferentes
idiomas
Su comentario es primordial para el continuo crecimiento del Top 10 de OWASP y todos los proyectos
OWASP. Gracias por la dedicacin para mejorar la seguridad del software en el mundo.
Estos programas vienen en todas las formas y tamaos, y La fundacin OWASP es una entidad sin fines de lucro para
debe evitar tratar de hacer todo lo prescrito por algn modelo asegurar el xito a largo plazo del proyecto. Casi todos los
de procesos. En cambio, debe aprovechar las fortalezas asociados a OWASP son voluntarios, incluyendo junta directiva
existentes en su organizacin para hacer y medir lo que le de OWASP, comits globales, lderes de captulos, lderes y
funcione a usted. miembros de proyectos.
Esperamos que OWASP Top 10 sea til para sus esfuerzos Apoyamos la investigacin innovadora sobre seguridad a travs
de becas e infraestructura.
de seguridad en aplicaciones. Por favor no dude en ponerse
en contacto con OWASP para sus dudas, comentarios, e
ideas, ya sea pblicamente a owasp-topten@lists.owasp.org
o en privado a dave.wichers@owasp.org.
nase a nosotros!
Este documento es lanzado bajo la licencia de Creative Commons Attribution ShareAlin 3.0. Para cualquier
reutilizacin o distribucin, debe verificar los otros trminos de licencias de ste trabajo
El Top 10 de OWASP para el 2017 est basado principalmente en 11 grandes conjuntos de datos, desde firmas que se
especializan en la seguridad de aplicacin, incluyendo 8 compaas consultoras y 3 vendedores de productos. Estos
conjuntos de vulnerabilidades obtenidas van desde cientos de organizaciones y sobre ms de 50.000 aplicaciones del
TOP 10 son seleccionados y priorizados desde la preponderancia de los datos, combinados con el consenso de
estimacin de explotabilidad, detectabilidad e impacto.
El primer apunte del Top 10 de OWASP es para educar a los desarrolladores, diseadores, arquitectos,
administradores y organizaciones sobre las consecuencias ms importantes de la debilidad y seguridad de las
aplicaciones web. El Top 10 provee tcnicas bsicas para proteger contra stos elevados riesgos - y adems proveer
una gua a donde ir a partir de aqu.
Advertencia. Agradecimientos.
No se detenga en el Top 10. Existen cientos de problemas que Gracias a Aspect Security por iniciar, liderar, y actualizar el
pueden afectar la seguridad en general de una aplicacin web OWASP Top 10, desde sus inicios en 2003, y a sus autores
tal como se ha debatido en la Gua de Desarrollo OWASP y primarios: Jeff Williams y Dave Wichers.
OWASP Hoja de configuracin rpida. Este documento es de
lectura esencial para cualquiera que desarrolle aplicaciones web
hoy en da. Una efectiva orientacin en cmo encontrar
vulnerabilidades en aplicaciones web es suministrada en la Gua
de Pruebas OWASP y la Gua de Revisin de Cdigo OWASP.
Nos gustara agradecer a las organizaciones que han
Cambio constante. Este Top 10 continuar cambiando. Incluso contribuido con sus vulnerabilidades para actualizar el 2017,
sin cambiar una sola lnea de cdigo en la aplicacin, es posible incluyendo algunos de ellos:
llegar a ser vulnerable, ya que al descubrirse nuevos defectos,
los ataques son refinados. Por favor, revise los consejos al final Aspect Security AsTech Consulting
del Top 10 "Prximos para Desarrolladores, Verificadores y Branding Brand Contrast Security
Organizaciones" para mayor informacin. EdgeScan iBLISS
Minded Security Paladion Networks
Piense positivamente. Cuando se encuentre preparado para Softtek Vantage Point
dejar de buscar vulnerabilidades y focalizarse en establecer Veracode
controles seguros de aplicaciones, OWASP ha producido una
Estndares de Verificacin en la Seguridad de las Aplicaciones
(ASVS) como gua para organizaciones y revisores de Por primera vez, todos los datos contribuidos al lanzamiento
del Top 10 y la lista completa de los contribuyentes es de
aplicaciones que detalla los controles de seguridad a verificar en
conocimiento publico.
una aplicacin.
Nos gustara dar las gracias a todos los que contribuyeron con
Utilice herramientas inteligentemente. Las vulnerabilidades las versiones anteriores del Top 10. Sin estas aportaciones, no
de seguridad pueden ser bastante complejas y encontrarse sera lo que es hoy. Tambin nos gustara dar las gracias a
ocultas en miles de cdigos. En muchos casos, el enfoque ms aquellos que han aportado comentarios constructivos y a los
eficiente y econmico para encontrar y eliminar dichas que dedicaron tiempo de revisin de esta actualizacin del Top
vulnerabilidades es la combinacin de expertos armados con 10.
buenas herramientas para realizar esta tarea.
Neil Smithline (MorphoTrust USA) Por producir la
Push left. Enfocarse en hacer que la seguridad sea parte de la wiki de esta versin del Top 10 y proporcionar
cultura organizacional a travs de todo el ciclo de desarrollo. informacin.
Puede encontrar ms informacin en Open Software Assurance
Maturity Model (SAMM) y RuggeHandbook. Y, por ltimo , nos gustara de antemano dar las gracias a
todos los traductores por traducir esta versin del Top 10 en
idioma, lo que ayuda a hacer que el OWASP Top 10 sea
accesible al planeta entero.
El panorama de amenazas para aplicaciones y APIs constantemente cambia. Los factores claves en sta evolucin son la rpida
adopcin de nuevas tecnologas (incluyendo clouds, contenedores y APIs), la aceleracin y automatizacin del proceso del desarrollo
del software como Agile y DevOps, la exposicin de libreras de terceros, frameworks y descubrimientos realizados por atacantes.
Estos factores frecuentemente hacen a las aplicaciones y APIs ms complejas de analiza, y pueden significativamente cambiar el
panorama de amenazas. Para mantener la paz, peridicamente actualizamos el Top 10. Este lanzamiento 2017, contiene los
siguientes cambios:
1. Mezclamos 2013-A4: Referencia Directa Insegura a Objetos y 2013-A7: Ausencia de Control de Acceso a Funciones dentro de
2017-
A4: Control de Acceso sin Proteccin.
En el 2007, separamos Control de Acceso sin Proteccin dentro de esas dos categoras para brindar ms atencin a cada mitad del problema
Del Control de Acceso (datos y funcionalidad). No cremos que sea necesario por eso lo fusionamos nuevamente.
2. Agregamos 2017-A7: Proteccin Insuficiente contra Ataques:
Durante aos, hemos considerado agregar defensas insuficientes contra los ataques automatizados. Basados en la llamada de datos, vemos
que la mayora de aplicaciones y APIs no tienen las aptitudes bsicas para detectar, prevenir y responder a ambos mtodos, manual y
ataques automticos. Los dueos de aplicaciones y APIs tambin necesitan ser capaces de generar parches rpidos que los protejan contra
los ataques.
3. Agregamos 2017-A10: APIs bajo protecciones:
Las aplicaciones modernas y APIs a veces involucran contenido rico en las aplicaciones clientes, como JavaScript en el navegador y
aplicaciones mviles, que estn conectadas a una API o alguna de ellas (SOAP/XML, REST/JSON, RPC, GTW). Estas Apis a veces estn
bajo protecciones y contienen muchas vulnerabilidades. Incluimos algunas para ayudar a la organizacin a enfocarse en la mayor exposicin
emergente.
4. Descartamos: 2013-A10: Redirecciones y Reenvos no validos:
En el 2010, aadimos sta categora para generar conciencia del problema. Sin embargo la informacin muestra que es inconveniente no ha
sido explotado como esperamos. Luego de lanzar los dos anteriores Top 10, sta vez no hizo ningn cambio.
NOTA: El Top 10 est organizado sobre las reas de mayor riesgo, y no pretenden estar en lo correcto, sin sobreponer una estricta
tenotoma. Algunos de ellos estn centrados en el atacante, alguna vulnerabilidad, defensa y amenaza. Las organizaciones deben
considerar establecer iniciativas para prevenir estos inconvenientes.
A1 - Inyeccin. A1 - Inyeccin.
Los atacantes pueden potencialmente usar rutas diferentes a travs de la aplicacin para hacer dao a su negocio u organizacin.
Cada una de estas rutas representa un riesgo que puede, o no, ser lo suficientemente grave como para justificar la atencin.
A veces, estas rutas son triviales de encontrar y explotar, y a veces son muy difciles. Del mismo modo, el dao que se causa puede ir
de ninguna consecuencia, o ponerlo fuera del negocio. Para determinar el riesgo en su organizacin, puede evaluar la probabilidad
asociada a cada agente de amenaza, vector de ataque, y la debilidad en la seguridad, y combinarla con una estimacin del impacto
tcnico y de negocios para su organizacin. En conjunto, estos factores determinan el riesgo global.
Los nombres de los riesgos en el Top 10 derivan del poder del ataque del tipo de
debilidad o el tipo de impacto que causan. Hemos elegido los nombres que reflejan
con precisin los riesgos y, cuando es posible, alineamos con la terminologa
comn para aumentar el nivel de conciencia sobre ellos.
A1- Inyeccin Las fallas de inyeccin, tales como SQL, OS y LDAP, ocurren cuando datos no confiables son enviados
a un intrprete como parte de un comando o consulta. Los datos hostiles de atacante pueden engaar al
intrprete en ejecutar comandos no intencionados o acceder a datos no autorizados.
A2 Prdida de Las funciones de la aplicacin relacionadas a autenticacin y gestin de sesiones son implementadas
Autenticacin y con frecuencia incorrectamente, permitiendo al atacante comprometer contraseas, claves, tokens de
Gestin de Sesin. sesiones o explotar otras fallas de implementacin para asumir la identidad de otros usuarios.
A3 Secuencia de Las fallas XSS ocurren cada vez que una aplicacin toma datos no confiables y los enva al navegador
Comandos en web sin una validacin y codificacin apropiada. XSS permite a los atacantes ejecutar secuencias de
comandos en el navegador de la vctima, los cuales pueden secuestrar las sesiones del usuario, destruir
Sitios Cruzados
sitios web o dirigir al usuario hacia un sitio malicioso.
(XSS)
A4 Control de Las restricciones de lo que los usuarios autenticados tienen permiso a realizar no se encuentran
Acceso sin propiamente fortificado. Los atacantes pueden explotar sta falla para acceder a funciones sin
Proteccin. restricciones o informacin, como obtener acceso a cuentas de otros usuarios, visualizar archivos
sensibles, modificar informacin de otros usuarios, cambiar los accesos.
A5 Configuracin Una buena seguridad requiere tener denida e implementada una conguracin segura para la
aplicacin, marcos de trabajo, servidor de aplicacin, servidor web , base de dato , y plataforma. Todas
de Seguridad
estas conguraciones deben ser denida , implementada , y mantenidas ya que por lo general no son
Incorrecta. seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las libreras de cdigo
realizadas por la aplicacin.
A6 Exposicin de Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como nmeros de tarjetas
de crdito o credenciales de autenticacin. Los atacantes pueden robar o modificar tales datos para
datos Sensibles. llevar a cabo fraudes, robos de identidad u otros delitos. Los datos sensibles requieren de mtodos de
proteccin adicionales tales como el cifrado de datos, como tambin precauciones especiales en un
intercambio de datos con el navegador.
A7- Proteccin La mayora de aplicaciones y APIs fallan en la habilidad bsica de detectar, prevenir y responder a
ataques manuales y automticos. La proteccin contra ataques va ms all de una bsica validacin de
insuficiente contra ingreso de datos e implica la deteccin automtica, ingreso, respuesta e inclusive bloquear intentos de
ataques. explotacin.
Los dueos de las aplicaciones tambin necesitan ser capaces de realizar parches de forma rpida para
protegerse contra los ataques.
A8 Falsificacin Un ataque CSRF obliga al navegador de una vctima autenticada a enviar una peticin HTTP falsicada,
de peticin en Incluyendo la sesin del usuario y cualquier otra informacin de autenticacin incluida automticamente,
a una aplicacin web vulnerable. Esto permite al atacante forzar al navegador de la vctima para generar
Sitios Cruzados pedidos que la aplicacin vulnerable piensa son peticiones legtimas provenientes de la vctima.
(CSRF).
A9- Uso de Los componentes, como librera, frameworks y otros mdulos de softwares, se ejecutan con los mismos
componentes con privilegios que la aplicacin. Si un componente es vulnerable y explotado, un ataque puede facilitar una
prdida seria de informacin o incluso la prdida de control de un servidor. Las Aplicaciones y APIs
vulnerabilidades utilizan componentes con vulnerabilidades conocidas pueden debilitar la defensa de una aplicacin y
conocidas. permitir varios ataques e impactos.
A10- APIs bajo Las aplicaciones modernas a veces implican aplicaciones y APIs enriquecidas, como JavaScript en el
navegador y aplicaciones mviles, que se conectan a una API o algn tipo (SOAP/XML, REST/JSON,
proteccin. RPC, GET, etc.). stas APIs a veces son desprotegidas y contienen numerosas vulnerabilidades.
Considere a El atacante enva ataques Las fallas de inyeccin ocurren cuando Una inyeccin Considere el valor de
cualquiera que pueda con cadenas simples de una aplicacin enva informacin no puede causar negocio de los datos
enviar informacin no texto, los cuales explotan confiable a un intrprete. Estas fallas prdida o corrupcin afectados y la
confiable al sistema, la sintaxis del intrprete a son muy comunes, particularmente en de datos, prdida de plataforma sobre la
incluyendo usuarios vulnerar. Casi cualquier cdigo antiguo. Se encuentran responsabilidad o que corre el
externos, usuarios fuente de datos puede ser frecuentemente, en consultas SQL, negacin de acceso. intrprete. Los datos
internos y un vector de inyeccin, LDAP, Xpath o NoSQL; los comandos Algunas veces una pueden ser robados,
Administradores. incluyendo las fuentes de SO, intrpretes de XML, inyeccin puede modificados o
internas. encabezados SMTP, argumentos de llevar al compromiso eliminados. Podra
programas. Estas fallas son fciles de total del servidor. ser daada su
descubrir mediante pruebas. Los reputacin?
analizadores y FUZZERS- pueden
ayudar a los atacantes a encontrar
fallas de seguridad.
Los atacantes El atacante utiliza Los desarrolladores con frecuencia Estas vulnerabilidades Considere el valor de
annimos externos filtraciones o crean esquemas propios de pueden permitir que los datos del negocio
como usuarios con vulnerabilidades en las autenticacin o gestin de sesiones, algunos o todas las
sus propias funciones de para construirlos en forma correcta, es cuentas sean Afectados o las
cuentas, podran autenticacin o gestin difcil. Con frecuencia stos esquemas atacadas. Una vez funciones de la
intentar robar de sesiones (ej. propios contienen vulnerabilidades en el que el ataque resulto aplicacin expuesta.
cuentas de otros. Cuentas expuestas, cierre de sesin, gestin de exitoso, el atacante
Considere tambin contraseas, id de contraseas, tiempo de desconexin podra realizar
a trabajadores que sesin) para suplantar (expiracin), funcin de recordar cualquier accin que Tambin el impacto en
quieran otros usuarios. contrasea, pregunta secreta, la vctima pudiese. el negocio de la
enmascarar sus actualizacin de cuenta. Encontrar Las cuentas exposicin pblica de
acciones. stas vulnerabilidades puede ser difcil, privilegiadas son la vulnerabilidad.
porque cada implementacin es nica. objetivos prioritarios.
Considere El atacante enva cadenas Las fallas XSS ocurren cuando una El atacante puede Considerar el valor para el
cualquier persona de texto que son aplicacin actualiza una pgina web ejecutar secuencias negocio del sistema
que pueda enviar secuencias de comandos controlada por un atacante, sin un correcto de comandos en el afectado y de los datos
datos no conables de ataque que explotan el escape, que contenga una API segura navegador de la que ste procesa.
al sistema, intrprete del navegador. JavaScript.Hay dos categoras primarias de vctima para
incluyendo Casi cualquier fuente de XSS: secuestrar las
Tambin considere el
usuarios externos, datos puede ser un vector sesiones de usuario,
impacto en el negocio la
internos y de ataque, incluyendo alterar la apariencia
1) Almacenado exposicin pblica de la
administradores. fuentes internas tales del sitio web, insertar
2) Reflejado vulnerabilidad.
como datos de la base de cdigo hostil, redirigir
datos. usuarios, secuestrar
Y cada uno de ellos puede ocurrir en el el navegador de la
servidor o el cliente. La deteccin de un vctima utilizando
Servidor Xss es bastante fcil mediante el malware, etc.
anlisis de cdigo. Un cliente Xss puede
ser difcil de identificar.
Es vulnerable a SERVER XSS si del lado del servidor el cdigo Prevenir XSS requiere mantener los datos no conables
utiliza ingresos por parte del usuario como parte de la salida separados del contenido activo del navegador.
HTML, y no utiliza un contexto sensible de escapes para
asegurarse que no se ejecute el cdigo. Si una pgina web 1. Para evitar un Servidor XSS, la opcin preferida es escapar
utiliza JavaScript dinmicamente permite al atacante controlar apropiadamente la informacin sin confiar en el HTML
la informacin hacia la pgina, puede tener CLIENT XSS. (body, atributos, JavaScript, Css o Url), para que la
Podra evitar que un atacante enve datos controlados hacia informacin sea real. Ver la Hoja de trucos de OWASP
APIs JavaScript no seguras, pero realizando escapes (y una para la prevencin de XSS.
extensin menor) la validacin de ingreso de datos pueden 2. Para evitar XSS CLIENT, la opcin preferida es evitar
usarse para hacer lo ms seguro. enviar contenido no confiado a JavaScript y APIs de otros
navegadores que puedan generar contenido activo. Cuando
Las herramientas automatizadas pueden encontrar algunos no puede evitar, tcnicas de escape en contextos sensibles
XSS. Sin embargo, cada aplicacin construye la salida de pueden aplicarse a la APIs del navegador descripto en la
forma diferente y utiliza diferentes interpretes para los OWASP DOM based XSS Prevention Cheat Sheet.
navegadores como JavaScript, ActiveX, Flash y Silverlight, 3. Para contenido en formato enriquecido, considere utilizar
usualmente utilizan libreras de terceros. Esta diversidad Bibliotecas de auto sanitizacin como AntiSamy de OWASP
dificulta las detecciones automticas particularmente al utilizar o el proyecto sanitizador de HTML en Java.
aplicaciones de pginas simples y potentes frameworks 4. Considere utilizar polticas de seguridad de contenido
JavaScript y libreras. Por lo tanto, una completa cobertura (CSP) para defender contra XSS la totalidad de su sitio.
requiere una combinacin de revisin manual de cdigo y
pruebas de penetracin, adems de las aproximaciones
automticas.
Considerar los tipos Atacantes, quienes son Para los datos, aplicaciones y APIs Tales errores pueden Considerar el valor del
de usuarios los usuarios frecuentemente utilizan el nombre actual o comprometer todas negocio a la exposicin de
autorizados en el autorizados, llave de un objeto al generar pginas web. las funcionalidades o informacin y
sistema. Tienen simplemente con Para funciones, URLs y los nombres de datos que son funcionalidad.
restricciones a cambiar un valor del funciones son frecuentemente fcil de sensibles.
algunas funciones y parmetro a otro, adivinar. Las aplicaciones y APIs no
Tambin el impacto del
datos? Los usuarios recursos, a los que no siempre verifican si el usuario est
A menos que las negocio a la exposicin
sin autenticacin cuentan autorizacin. El autorizado para acceder al recurso. Esto
referencias sean pblica de la
pueden acceder a acceso a stas resulta en el error del control de acceso.
impredecibles, o el vulnerabilidad.
cualquier funcionalidades o Los testers pueden fcilmente manipular
control de acceso sea
funcionalidad o informacin estn parmetros para detectar tales fallas. El
reforzado, los datos y
informacin? permitidas? anlisis de cdigo rpidamente muestra si
funcionalidad pueden
la autorizacin es correcta.
ser robados o
abusados.
La mejor manera de averiguar si una aplicacin es vulnerable al Prevenir los errores de control de acceso requiere seleccionar
los controles de accesos vulnerables es verificar toda la una aproximacin para proteger cada funcin y tipo de dato (ej.
informacin y referencias de las funciones contienen las Nombre de archivo, numero de objeto).
defensas apropiadas. Para determinar debe considerar:
1. Verificar el acceso. Cada uso de una referencia directa desde una
1. Para las referencias de datos, la aplicacin asegura que el
fuente desconfiable debe incluir un lista de control de acceso para
usuario est autorizado utilizando mapas de referencias o
asegurar si el usuario est autorizado a utilizar el recurso solicitado.
verifica el control de acceso para asegurar si el usuario se
2. Utilizar por sesin o referencias indirectas de objetos por
encuentra autorizado a la informacin? sesin: Este patrn de cdigos previene que ataques desde
2. Para solicitudes de funciones no pblicas, la aplicacin
objetivos directamente desde los recursos no autorizados. Por
asegura que el usuario se encuentra autenticado, y tiene el
ejemplo, en vez de utilizar el recurso de la llave de la base datos,
rol o privilegio para utilizar la funcin?
una lista desplegable de los seis recursos autorizados para cada
usuario actual puede utilizar los nmeros del 1 al 6 para indicar que
La revisin del cdigo de la aplicacin permite verificar si estos valor pertenece al usuario. OWASPs ESAPI incluye secuencial y
controles estn correctamente implementados y estn aleatorio mapeo de acceso a las referencias que los desarrolladores
presentes en cualquier lugar que son requeridos. El testeo pueden utilizar para eliminar el acceso directo a las referencias.
manual es efectivo para identificar fallas en el control de 3. Automatizacin de verificacin. La ventaja de la automatizacin
acceso. Las herramientas automatizadas tpicamente no para verificar el apropiado despliegue de autorizaciones. A veces es
personalizado.
verifican tales errores porque no reconocen la proteccin que
requiere o que es seguro o inseguro.
2. Un atacante simplemente fuerza el navegador a URLs definidas. Para controles adicionales ver ASVS requirements area for Access
Los permisos de los Administradores tambin son requeridos para Control (V4).
acceder a la administracin de la pgina.
http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo CWE Entry 285 on Improper Access Control (Authorization).
Si un usuario no autenticado puede acceder a la pgina y su falla. CWE Entry 639 on Insecure Direct Object References.
Si un no-administrador puede acceder a la pgina de administracin, CWE Entry 22 on Path Trave
tambin a su falla.
Considere atacantes Un atacante accede a Las configuraciones de seguridad Estas El sistema podra ser
externos as como cuentas por defecto, incorrectas pueden ocurrir en cualquier vulnerabilidades completamente
usuarios con sus pginas sin uso, fallas nivel de la aplicacin, incluyendo la frecuentemente dan a comprometido sin su
propias cuentas que sin parchar, archivos y plataforma, servidor web, de aplicacin, los atacantes acceso conocimiento. Todos sus
pueden comprometer directorios sin base de datos, framework y cdigo no autorizado a datos podran ser robados o
el sistema. proteccin. personalizado. algunas modificados lentamente en
funcionalidades o el tiempo.
datos del sistema.
Tambin el personal Para obtener acceso no Los desarrolladores y administradores de
interno intentando autorizado o para sistema necesitan trabajar juntos para El costo de recuperacin
enmascaras sus conocer el sistema. asegurar que las distintas capas estn Ocasionalmente podra ser elevado.
acciones. configuradas apropiadamente. Las provocan que el
herramientas de deteccin automticas son sistema se
tiles para detectar parches omitidos, fallos comprometa
de configuracin, uso de cuentas por totalmente.
defecto, servicios innecesarios, etc.
Cuenta su aplicacin con el apropiado fortalecimiento de Las recomendaciones primarias son el establecimiento de todo
lo siguiente:
seguridad a travs de todas las capas que lo componen?
Incluyendo: 1- Un proceso rpido, fcil y repetible de fortalecimiento para obtener
un entorno apropiadamente asegurad. Los entornos de Desarrollo,
1- Tiene algn software sin actualizar? Esto incluye el SO, Servidor QA y Produccin deben ser congurados idnticamente (con
Web/Aplicacin, DBMS, aplicaciones, APIs y todos los diferentes contraseas usadas en cada entorno). Este proceso
puede ser automtico para minimizar el esfuerzo de congurar un
componentes y libreras (2017-A9).
nuevo entorno seguro.
2- Estn habilitadas o instaladas algunas caractersticas
innecesarias? Ej. Puertos, servicios, paginas, cuentas, privilegios? 2- Un proceso para mantener y desplegar las nuevas actualizaciones y
3- Estn las cuentas por defecto y sus contraseas aun habilitadas parches de software de una manera oportuna para cada entorno.
y sin cambiar? Este proceso necesita incluir todos los componentes y libreras
(2017-A9).
4- Estn las configuraciones de seguridad en su framework de
desarrollo (ej. Struts, Srping, Asp.Net) y libreras sin configurar a 3- Una fuerte arquitectura de aplicacin que proporcione una
valores seguros? separacin segura y efectiva entre los componentes.
Sin un proceso repetible y concertado de configuracin de 4- Un proceso automatizado para verificar las configuraciones y seteos
deben ser configurados apropiadamente en todos los entornos.
seguridad para las aplicaciones, los sistemas estn en un
riesgo elevado.
Considere quien Los atacantes La debilidad ms comn es simplemente no Los fallos La prdida de datos y el
puede obtener tpicamente no quieran cifrar datos sensibles. Cuando se emplea frecuentemente impacto de su reputacin.
acceso a sus datos la criptografa de forma cifrado, es comn detectar generacin y comprometen a todos Cul es su responsabilidad
sensibles y cualquier directa, sino algo ms gestin dbil de claves, el uso de los datos que legal si estos datos son
respaldo de estos. como robar claves, algoritmos dbiles y particularmente deberan estar expuestos? Tambin
Esto incluye los datos realizar ataques MITM, tcnicas dbiles de hashing de protegidos. considere el dao a la
almacenados, en robar datos en texto contraseas. Las debilidades a nivel del Tpicamente esta reputacin.
trnsito e inclusive en claro del servidor, navegador son muy comunes y fciles de informacin incluye
el navegador del mientras se encuentran detectar pero difciles de explotar a gran datos sensibles como
cliente, incluye en trnsito, o del escala. Atacantes externos encuentran ser registros mdicos,
amenazas internas y navegador del usuario. dificultades detectando debilidades a nivel credenciales, datos
externas. del servidor dado el acceso limitado y que personales, tarjetas
son usualmente difciles de explotar. de crdito.
Considerar que Los atacantes, usuarios Las aplicaciones y APIs son atacadas todo La mayora de los Considerar el impacto o
cualquiera con conocidos o annimos, el tiempo. La mayora de aplicaciones y ataques exitosos insuficiente proteccin
acceso a la red envan ataques. La APIs detectan inputs invlidos, simplemente inicia con pruebas de contra ataques del
puede enviar una aplicacin o API detecta lo rechazan, dejando al atacante que ataque vulnerabilidades. negocio.
solicitud a una el ataque? Cmo una y otra vez. Como los ataques indican un Permitiendo tales
aplicacin. La responde? Puede comportamiento malicioso el usuario puede pruebas para
Los ataques efectivos
aplicacin detecta y impedir ataques contra probar o explotar vulnerabilidades. continuar elevando la
pueden no prevenirse,
responde a mtodos stas vulnerabilidades Detectando y bloqueando ambos ataques probabilidad de una
pueden no ser
de ataques manuales conocidas? manual y automtico, es una de las ms explotabilidad al 100%
descubiertos por largos
y automticos? eficaces maneras de incrementar la exitosa. No
periodos de tiempo y
seguridad. Cmo puede rpidamente desplegando parches
expandirse ms lejos de
parchar una vulnerabilidad critica con solo de manera rpida
la inicial recoleccin de
descubrirla? detendrn a un
informacin.
atacante.
Detectando, respondiendo, y bloqueando ataques hacen que Hay tres objetivos primarios para una proteccin:
la aplicacin sea ms difcil de explotar aunque la mayora de
aplicaciones o APIs tengan tales protecciones. Las 1. Detectar Ataques. Ocurri algo que es imposible que un usuario
vulnerabilidades crticas en componentes y cdigo autenticado cause (ej. Un ingreso de datos que un cliente legtimo
personalizado son descubiertos con el tiempo, aunque a las pueda generar?). La aplicacin comenz a ser utilizada de un modo
organizaciones frecuentemente les toma meses en desarrollar que un usuario comn no podra nunca hacerlo (ej. Ingreso de datos
nuevas defensas. no tpicos, patrones de uso inusuales, solicitudes repetitivas).
Debera ser obvio la deteccin de ataques y respuestas, 2. Responder a ataques. Los logs y notificaciones son esenciales
aunque no es fcil. Intente atacar manualmente o ejecutar para responder a tiempo. Decidir si bloquear automticamente
escaneadores contra las aplicaciones. La aplicacin o API solicitudes, direcciones IP o rangos IP. Considerar desactivar o
debera identificar a los atacantes y las caractersticas de los monitorear el comportamiento raro en las cuentas de usuarios.
ataques. Si rpidamente no puede revertir virtual y/o parches
actuales cuando una vulnerabilidad critica es descubierta, an 3. Parchar rpidamente. Si su proceso de desarrollo no puede sacar
sigue expuesto al ataque. parches diarios crticos, despliegue un parche virtual que analizar
el trfico HTTP, flujo de datos y/o la ejecucin de cdigo y previene
Asegrese de entender que tipos de ataques estn cubiertos las vulnerabilidades desde donde son explotadas.
contra proteccin de ataques. Slo contra XSS e Inyeccin
SQL? Puede utilizar tecnologas como WAFs y OWASP
AppSensor para detectar o bloquear ataques y/o virtualmente
parchar las vulnerabilidades.
Considerar cualquier El atacante crea CSRF aprovecha el hecho que la mayora Los atacantes pueden Considerar el valor del
persona que pueda peticiones HTTP de las aplicaciones web permiten a los cambiar cualquier negocio a los datos o
cargar contenido en falsificadas y engaa a atacantes predecir todos los detalles de dato que la vctima funciones afectados.
los navegadores de la vctima mediante el una accin en particular. est autorizada a
los usuarios y as envo de etiquetas de cambiar o a acceder
Tener en cuenta lo que
obligarlos a presentar imgenes, XSS u otras a cualquier
Dado que los navegadores envan representa no estar seguro
una solicitud para su tcnicas. Si el usuario funcionalidad donde
credenciales como cookies de sesin de si los usuarios en realidad
sitio web. est autenticado el este autorizada,
forma automtica, los atacantes pueden desean realizar dichas
ataque tiene xito. incluyendo registros,
crear pginas web maliciosas que generan acciones. Considerar el
cambios de estado o
Cualquier sitio web o peticiones falsificadas que con impacto que tiene en la
cierre de sesin.
canal HTML que el indistinguibles de las legtimas. reputacin de su negocio.
usuario acceda
puede realizar este
La deteccin de fallos de tipo CSRF es
tipo de ataque.
bastante fcil a travs de pruebas de
penetracin o de anlisis de cdigo.
Algunos Los atacantes Muchas aplicaciones y APIs tienen stos El alcance completo Considerar que cada
componentes identifican un inconvenientes debido a que su equipo de de la debilidad es vulnerabilidad podra
vulnerables (ej. componente dbil a desarrollo no se centra en actualizar posible, incluyendo la significar que el control de la
Libreras de travs del escaneo o libreras y componentes. En algunos casos, inyeccin, romper el empresa sea tomado por la
frameworks) pueden anlisis manual. los desarrolladores no siempre conocen control de acceso, aplicacin.
ser identificadas y Customizando la todos los componentes que estn XSS.
explotadas con explotabilidad a su utilizando, no recordando las versiones. Las
Puede ser algo trivial o
herramientas necesidad y ejecutando dependencias de los componentes hacen
El impacto puede significar un compromiso
automatizadas, el ataque. Volvindose que la situacin sea peor.
abarcar de un total.
expandiendo el ms difcil si el
aspecto mnimo a una
alcance del agente componen utilizado es
Las herramientas se estn volviendo toma por completo del
de amenaza ms all esencial en la
comnmente disponibles para ayudar a servidor y
del objetivo de los aplicacin.
detectar componentes con el uso de comprometer los
atacantes incluyendo
vulnerabilidades conocidas. datos.
actores caticos.
Considerar que Los atacantes Las aplicaciones Web modernas y El amplio resultado Considerar el impacto
cualquiera con la pueden con APIs estn altamente compuestas de negativo es de un ataque a una API
habilidad puede ingeniera inversa a clientes enriquecidos (navegadores, posible, incluyendo en la empresa. El
enviar solicitudes una APIs examinar mvil, escritorio) que conectan con el robo de datos, acceso a la API es
a las APIs de los el cdigo de cliente o backend de la APIs (XML, JSON, corrupcin, y crtico para los datos o
clientes. El simplemente RPC, GWT, personalizado). APIs destruccin, funciones?
software del monitorear las (microservicios, servicios, endpoint) acceso no Muchas APIs consideran
cliente es comunicaciones. pueden ser vulnerables a amplios autorizado a la que es una misin
fcilmente Algunas ataques. Desafortunadamente, la aplicacin entera y crtica, tambin suponen
reversible y las vulnerabilidades en dinmica y a veces inclusive las una toma completa el impacto de un ataque
comunicaciones las API pueden herramientas estticas no funcionan del servidor. de denegacin de
son fcilmente automticamente ser correctamente en las APIs y pueden servicio.
interceptadas, no descubiertas, otras, dificultar el anlisis manual, entonces
es ningn secreto nicamente por estas vulnerabilidades son raras
no defender la expertos. veces desconocidas.
APIs.
Testear sus APIs en busca de vulnerabilidades debe ser La clave para proteger APIs es asegurar que entiende por
similar a verificar el resto de la aplicacin en busca de fallas. completo la amenaza modelo y que defensas debe tener:
Todos los tipos de inyecciones, autenticacin, control de
acceso, encriptacin, configuracin y otros tipos de problemas 1. Asegurar que tiene securizada las comunicaciones entre el cliente y
que las APIs puedan tener como una aplicacin comn. la APIs.
2. Asegurar que tiene un esquema de seguridad fuerte para su APIs, y
todas las credenciales, llaves y tokens estn bien asegurados.
Sin embargo, a causa que las APIs estn diseadas por el uso 3. Asegurar que si el uso de solicitudes de datos formados, que la
de programas (no humanos) frecuentemente faltan a un UI y configuracin del parser este altamente protegida contra ataques.
utilizan complejos protocolos y estructuras de datos. Estos 4. Implementar un esquema de control de acceso que proteja la APIs
factores pueden hacer que el testeo de seguridad sea difcil. El desde que es invocada de forma errnea, incluyendo el acceso no
uso de amplios formatos utilizados puede ayudar, como autorizado a funciones y datos de referencias.
Swagger (OpenAPI), REST, JSON y XML. Algunos 5. Proteger contra todos los tipos de inyecciones, ya que sos ataques
frameworks como GTW y algunas implementaciones RPC son efectivos a travs de las APIs como de las aplicaciones
normales.
utilizan formatos propios. Algunas aplicaciones y APIs crean
protocolos propios y formatos de datos, como WebSockets. La
amplitud y complejidad de una API dificultan la automatizacin Asegrese que su anlisis de seguridad y verificacin cubra toda
de pruebas de seguridad, posiblemente guen a un falso la APIs y las herramientas descubran y las analicen todo de
ambiente de seguridad. forma eficaz.
Para ayudar a las organizaciones y desarrolladores a reducir los riesgos de seguridad de sus aplicaciones de una manera rentable,
OWASP ha producido un gran nmero de recursos gratuitos y abiertos, que puede utilizar para gestionar la seguridad de las
aplicaciones en su organizacin. A continuacin se presentan algunos de los amplios recursos que OWASP ha producido para ayudar
a las organizaciones a generar aplicaciones web seguras y APIs. A continuacin presentamos recursos adicionales de OWASP que
pueden ayudar a las organizaciones a verificar la seguridad de sus aplicaciones y APIs.
Para producir aplicaciones web seguras, debe definir que significa seguro para sa aplicacin. OWASP
Requisitos recomienda utilizar estndar de verificacin de seguridad en aplicaciones (ASVS) OWASP como gua
de Seguridad para ajustar los requisitos de seguridad de su(s) aplicacin(es).
en
Aplicaciones ASVS ha sido actualizado mnimamente en los aos pasados, con la versin 3.0.1 lanzada a mediados del
2016. Si es un agente externo considere la OWASP Secure Software Contract Annex.
.
Es ms rentable disear seguridad desde el principio que aadir seguridad a su(s) aplicacin(es). OWASP
Arquitectura
recomienda la Gua de desarrollo OWASP y las hojas de prevencin de trampas OWASP como puntos de
de Seguridad inicio ptimos para guiarlo en el diseo de la seguridad.
en
Aplicaciones La hoja de cdigos rpidos ha sido actualizada y expandida desde el que fue lanzada en l 2013.
.
Ciclo de Vida Para mejorar el proceso que su organizacin utiliza al construir aplicaciones, OWASP recomienda el Modelo
de garanta de la madurez del software OWASP (SAMM). Este modelo ayuda a las organizaciones a
de Desarrollo formular e implementar estrategias para el software seguro adaptado a los riesgos especficos de la
Seguro organizacin. Cambios significantes fue lanzado en el 2017.
Educacin El Proyecto educacional OWASP brinda materiales de formacin para ayudar a educar a desarrollares en
de la seguridad de aplicaciones Web, y ha compilado un gran nmero de presentaciones educativas. Para una
formacin prctica acerca de vulnerabilidades, pruebe OWASP WebGoat, WebGoat.net o OWASP Broken
Seguridad en Web Application Project. Para mantenerse actualizado, recurra a una Conferencia AppSec OWASP o a
Aplicaciones reuniones de los captulos OWASP locales.
.
Hay un gran nmero de recursos adicionales OWASP para su uso. Visite la Pgina de Proyectos OWASP, lista todos los proyectos
de OWASP, organizados por la calidad de la distribucin de cada proyecto. La mayora de los recursos estn disponibles en la WIKI y
otros documentos se pueden descargar en copia fsica como en eBooks.
Construir cdigo de forma segura es importante. Pero tambin critico de verificar que la seguridad que intenta construir es
actualmente presente, correctamente implementada, y utilizada en todos lados que deben suponerse. El objetivo de verificar la
seguridad en una aplicacin es proveer esta evidencia. El trabajo es difcil y complejo y los procesos modernos de desarrollos como
Agile o DevOps colocan una presin extrema en las aproximaciones tradicionales de las herramientas. Entonces lo animamos a
colocar metas en la importancia de su total aplicaciones o portfolio de aplicaciones y realizarlo de forma beneficio/costo efectivo.
Los riesgos modernos son rpidamente cambiantes, los das de escaneo o testeos de seguridad en una aplicacin en busca de
vulnerabilidades una vez al ao o ms, deben ser ms prximos. Busque ampliar los canales existentes de desarrollo con
automatizacin de seguridad que no vuelven lento el proceso del desarrollo. Sea la aproximacin que elija, considere el costo anual
de testear, priorizar, remediar, re-testear y re-desarrollar una simple aplicacin multiplicada por el tamao de su conjunto de
aplicaciones.
Entender el Antes de comenzar el testeo, asegrese de comprender donde es importante gastar el tiempo. Priorizar
Modelo de el origen de los agentes de amenazas, si no cuenta con uno, necesita crear uno antes de testear.
Considere utilizar OWASP ASVS y la OWASP gua de verificacin como un ingreso y no apropiarse de
Amenazas.
herramientas de vendedores o terceros para decidir lo que es importante para su negocio.
Comprender su La aproximacin de un testeo de seguridad en una aplicacin, debe ser altamente compatible con el
SDLC. personal, proceso y herramientas que utilice en el ciclo de desarrollo de software (SDLC). Trate de
fortalecer pasos extras, puertas y revisiones, son una causa comn de desacuerdo, y luchas a escala.
Busque oportunidades naturales para obtener informacin de seguridad y retro alimentacin en el
proceso.
Estrategias de Elija la simplicidad, rapidez, las tcnicas mas efectivas para verificar cada requerimiento. El Proyecto
Testeo. OWASP Benchmark, el cual ayuda a medir la habilidad de las herramientas de seguridad detectando
muchos de los riesgos incluidos en el OWASP Top 10, pueden ser til en seleccionar las mejores
herramientas para sus especficas necesidades. Asegrese de considerar los recursos humanos
necesarios para tratar con falsos positivos como un serio peligro de un falso negativo.
Lograr Cobertura No debe comenzar a testear todos. Enfquese en lo importante y expanda la verificacin del programa.
y Precisin. Esto significa expandir un conjunto de defensas de seguridad y riesgos que estn siendo verificadas
automticamente, como expandir la cobertura sobre las aplicaciones y APIs. Este objetivo es tener
donde la esencia de la seguridad de todas sus aplicaciones estn en verificacin continua.
Realizar Sin importar lo bueno que sea realizando testeos, no har ninguna diferencia a menos que lo comunique
Descubrimientos de forma efectiva. Construir confianza mostrando que entiende cmo funciona la aplicacin. Describir
Asombrosos eficazmente como puede ser abusada sin lingo e incluir un escenario real de ataque que lo haga real.
Realizar una estimacin real de cun difcil la vulnerabilidad es descubrir la vulnerabilidad y explotarla, y
cuan daino puede ser. Finalmente, distribuir los descubrimientos en los equipos de desarrollo que estn
utilizando, no en archivos PDF.
La seguridad en las aplicaciones yo no es opcional. Entre el aumento de los ataques y presiones de cumplimiento normativo, las
organizaciones deben establecer un mecanismo eficaz para asegurar sus aplicaciones. Dado el asombroso nmero de aplicaciones y
lneas de cdigo que ya estn en produccin, muchas organizaciones estn luchando por conseguir gestionar el enorme volumen de
vulnerabilidades. OWASP recomienda a las organizaciones establecer un programa de seguridad de las aplicaciones para aumentar el
conocimiento y mejorar la asegurar en todo su catlogo de aplicaciones y APIs. Conseguir un nivel de seguridad de las aplicaciones
requiere diversas partes de una organizacin trabajen en conjunto de manera eficaz, incluyendo los departamentos de seguridad y
auditoria, desarrollo de software, gestin ejecutiva y negocio. Requiere que la seguridad sea visible para que todos los involucrados
puedan ver y entender la postura de la organizacin en cuanto a seguridad en aplicaciones. Tambin es necesario centrarse en las
actividades y resultados que realmente ayuden a mejorar la seguridad de la empresa mediante la reduccin de riesgo de la forma ms
rentable posible. Algunas de las actividades clave en la efectiva aplicacin de los programas de seguridad incluyen:
Establecer un conjunto de polticas y estndares que proporcionen una base de referencia de seguridad de
Cuente con las aplicaciones, las cuales todo el equipo de desarrollo pueda adherirse.
una base Definir un conjunto de controles de seguridad reutilizables comn que complementen sas polticas y
slida. estndares, proporcionando una gua en su uso en el diseo y desarrollo.
Establecer un perfil de formacin en seguridad en aplicaciones que sea un requisito, dirigido a los
diferentes roles y tipologas de desarrollo.
Integre la Definir e integrar actividades de implementacin de seguridad y verificacin en los procesos operativos y de
Seguridad desarrollos existentes. Estas actividades incluyen Modelado de amenazas, Diseo y Revisin seguros,
en los Desarrollo seguro y Revisin de cdigo, Pruebas de intrusin, contra medida.
Procesos Para tener xito, debe proporcionar a expertos en la materia y servicios de apoyo a los equipos de
Existentes. desarrollos y de proyecto.
Gestionar a travs de mtricas. Manejar las decisiones de mejora y provisin de recursos econmicos
Proporcione basndose en las mtricas y anlisis de los datos capturados. Las mtricas incluyen el seguimiento de las
una visin practicas/actividades de seguridad, vulnerabilidades presentes, mitigadas, coberturas de aplicacin,
de gestin. densidad de defectos por tipo y cantidad de instancias.
Analizar los datos de las actividades de implementacin y verificacin para buscar el origen de la causa y
patrones en las vulnerabilidades para poder conducir mejoras estratgicas en la organizacin-.
Aunque las versiones del 2007 y anteriores del OWASP TOP 10 se centraban en identificar las vulnerabilidades ms prevalentes, el
OWASP Top 10 siempre ha sido organizo sobres los riesgos. Esto centra sobre los riesgos que han causado algunas confusiones
inentendibles en donde las personas buscan una debilidad hermtica. El OWASP Top 10 del ao 2010 ha clarificado el riesgo
centrado en el Top 10 siendo muy explcito sobre como los agentes de amenazas, vectores de ataques, debilidades, impactos tcnicos
e impactos combinados al negocio se fusionaron para producir riesgos. Esta versin del OWASP Top 10 contina con la misma
metodologa.
La metodologa de medir los riesgos en el Top 10 est basado en la OWASP Risk Rating Methodology. Por cada tem del Top 10,
estimamos el riesgo tpico que cada debilidad introduce a una aplicacin web buscando factores comunes probables y factores de
impacto para cada debilidad comn. Entonces ordenamos el ranking del Top 10 de acuerdo a esas debilidades que tpicamente
introducen el riesgo mas significante a una aplicacin. Estos factores son actualizados con cada nuevo lanzamiento del Top 10 como
los cambios.
El OWASP Risk Rating Methodology define numerosos factores para ayudar a calcular el riesgo de identificar vulnerabilidades. Sin
embargo el Top 10 realiza generalidades, adems de una vulnerabilidad especifica en aplicaciones reales y APIs. Como consecuencia
nunca podremos ser precisos como los dueos de los sistemas propios que pueden calcular los riesgos de su(s) aplicacin(es). Est
mejor preparado para juzgar la importancia de sus aplicaciones, datos e informacin, cules son sus amenazas y sobre como su
sistema ha sido construido para ser operado.
Nuestra metodologa incluye tres factores probables para cada debilidad (prevalencia, detectabilidad y fcil explotacin) y un factor de
impacto (impacto tcnico). La perseverancia de debilidades es un factor que generalmente no calcula. Para la perseverancia de
informacin y datos, hemos estado brindando estadsticas desde un nmero amplio de organizaciones (como referenciamos en la
seccin de Agradecimientos en la pgina 4) y hemos promediado sus datos en conjunto con el Top 10 partiendo una lista existente de
perseverancia. Estos datos han sido combinados con los otros dos factores promediados (detectabilidad y fcil explotabilidad) para
calcular una clasificacin promedio para cada vulnerabilidad. La clasificacin promedio ha sido multiplicada por nuestra estimacin
tcnica de impacto promedio para cada tem que se encuentra en la existente clasificacin de riesgos en el cada tem del Top 10.
Notar que esta aproximacin no toma el promedio del agente de amenaza en una cuenta. O si una cuenta para cualquiera de los
detalles tcnicos asociados con su aplicacin particular. Cualquiera de estos factores puede afectar significativamente el promedio en
general de un atacante que encuentre y explote una vulnerabilidad en particular. Esta clasificacin tambin no toma en cuenta el
impacto actual en su empresa. Su organizacin debe decidir cunto cuesta un riesgo de seguridad desde una aplicacin y APIs, la
organizacin est dispuesta a aceptar la cultura brindada, industria y el ambiente que lo regula. El propsito del Top 10 de OWASP
no es realizar los anlisis de riesgos por usted.
La siguiente tabla ilustra, nuestro clculo del riesgo para A3: Referencias de Sitios Cruzados (XSS), es predominante y garantizado
nicamente en muy extendido en una aproximacin a 0. Todos los dems riesgos listados desde deseados hasta poco comunes
(valores del 1 al 3).
2 0 1 2
1 * 2
RIESGO
El Top 10 cubre un amplio espectro, hay muchos ms riesgos a considerar y evaluar en su organizacin. Algunos de
stos han aparecido en previas versiones del Top 10, y otras no, incluyendo nuevas tcnicas de ataques que estn
comenzando a identificarse con el pasar del tiempo. Otros riesgos importantes en las aplicaciones (en orden alfabtico)
que debe considerar incluyen:
Clickjacking (CAPEC-103)
Denial of Service (CWE-400) (En el 2004 fue Top 10 Entry 2004-A9)
Deserialization of Untrusted Data (CWE-502) Para defensas ver: OWASP Deserialization Cheat Sheet
Expression Language Injection (CWE-917)
Information Leakage (CWE-209) and Improper Error Handling (CWE-388) (Fue parte del Top 10 en el 2007 Entry
2007-A6)
Hotlinking Third Party Content (CWE-829)
Malicious File Execution (CWE-434) (Fue parte del Top 10 en el 2007 - Entry 2007-A3)
Mass Assignment (CWE-915)
Server-Side Request Forgery (SSRF) (CWE-918)
Unvalidated Redirects and Forwards (CWE-601) (Fue parte del Top 10 en el 2013 Entry 2013-A10)
User Privacy (CWE-359)