Top 10 de vulnerabilidades en aplicaciones web.
El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto. Las 34 enumeraciones de debilidades comunes (CWE) asignadas al control de acceso roto tuvieron más ocurrencias en las aplicaciones que cualquier otra categoría.
2. Fallos criptográficos
Anteriormente conocido como “Exposición de datos confidenciales”, que era un síntoma general en lugar de una causa raíz. El enfoque renovado aquí está en las fallas relacionadas con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.
3. Inyección
El 94 % de las aplicaciones se probaron para detectar algún tipo de inyección, y los 33 CWE asignados a esta categoría tienen la segunda mayor cantidad de casos en las aplicaciones. Cross-site Scripting ahora es parte de esta categoría en esta edición.
4. Diseño inseguro
Es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con fallas de diseño.
5. Configuración de seguridad incorrecta
El 90 % de las aplicaciones se probaron para detectar algún tipo de error de configuración. Con más cambios en el software altamente configurable, no sorprende ver que esta categoría sube. La categoría anterior para entidades externas XML (XXE) ahora forma parte de esta categoría.
6. Componentes vulnerables y obsoletos
Es la única categoría que no tiene vulnerabilidades y exposiciones comunes (CVE) asignadas a los CWE incluidos, por lo que en sus puntajes se tienen en cuenta un exploit predeterminado y pesos de impacto de 5.0.
7. Fallos de identificación y autenticación
Anteriormente era “Broken Autentication” y se está deslizando hacia abajo desde la segunda posición, y ahora incluye CWE que están más relacionados con fallas de identificación. Esta categoría sigue siendo una parte integral del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
8. Fallos en el software y en la integridad de los datos
Es una nueva categoría para 2021, que se enfoca en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la integridad. Uno de los impactos ponderados más altos de los datos de Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) asignados a los 10 CWE en esta categoría. La deserialización insegura de 2017 ahora forma parte de esta categoría más amplia.
9. Fallos en el registro y la supervisión de la seguridad
Esta categoría se expande para incluir más tipos de fallas, es difícil de probar y no está bien representada en los datos de CVE/CVSS. Sin embargo, las fallas en esta categoría pueden afectar directamente la visibilidad, las alertas de incidentes y el análisis forense.
10. Falsificación de solicitudes del lado del servidor
Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media para el potencial de Explotación e Impacto. Esta categoría representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no se ilustra en los datos en este momento.
Comparación con Top OWASP 10 – 2017
NOTA: Toda la información de este artículo fue obtenida del sitio oficial de OWASP.
