OWASP (Open Web Application Security Project) ha publicado una nueva version de su ranking de riesgos en aplicaciones Web.
Es importante que este TOP 10 de riesgos representa aquellos que se consideran más peligrosos y no los más comunes.
Se han hecho cambios en la metodología del ranking para estimar el riesgo, no confiando únicamente en la frecuencia de la debilidad asociada, afectando al orden del TOP 10.
Los cambios realizados pueden resumirse en:
-Añadido A6 –Security Misconfiguration. Este riesgo estuvo en el TOP 10 en 2004. En 2007 se eliminó porque no se consideraba un riesgo del software. Ahora ha vuelto a añadirse.
-Añadido A10- Unvalidated Redirects and Forwards. Este riesgo aparece por primera vez en el TOP 10. La justificación es, que un riesgo relativamente desconocido podría causar un daño significativo.
-Eliminado A3- Malicious File Execution: Este problema aún ES significativo em determinados entornos. No obstante, ha prevalecido todos estos años debido a la gran cantidad de vulnerabilidades relacionadas com PHP. Ahora, PHP ofrece una configuración más segura, reduciendo la importancia de este riesgo.
-Eliminado A6- Information Leakage and Improper Error Handling: Este riesgo ha prevalecido durante años, pero ahora el impacto de provocar un stack trace o un mensaje de error con información útil es mínimo.
El nuevo TOP 10 queda por lo tanto de la siguiente manera:
-A1- Inyecciones
Riesgo relativo a todo lo que tenga que ver con inyección de código.
-A2- Cross Site Scripting (XSS)
-A3- Gestión Incorrecta de Sesiones y Autenticación
-A4- Referencias directas a objetos que son inseguras
-A5- Cross Site Request Forgery (CSRF)
-A6- Mala configuración de seguridad o ausencia de la misma
-A7- Almacenamiento con mecanismos de cifrado inseguros
-A8- Error al restringir el acceso por URL
-A9- Protección insuficiente en la capa de transporte
-A10- Redirecciones y destinos no validados
Fuente y más información en:
www.owasp.org