Categoría: Alerta Virus, Noticias
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas
Loading...

Las 10 mayores amenazas para aplicaciones web

Las 10 mayores amenazas para aplicaciones web

Se han publicado las diez amenazas más importantes para aplicaciones web 2010 por parte de la OWASP (Open Webn Application Security Project). Con este ranking pretenden concienciar a la industria sobre los peligros a los que se exponen estas aplicaciones.

La lista de amenazas ha sido realizada por expertos de seguridad en aplicaciones web que han debatido sobre los distintos riesgos. Este proyecto empezó a realizarse en 2003, momento en el que se publicó el primer ranking. Un año después, realizaró algún cambio menor de esta primera entrega y en 2007 publicaron el segundo ranking.

Según la organización, no solo hay que centrarse en acabar con los riesgos indicados, si no que hay que llevar a cabo un plan de seguridad que, tras iniciarse, continúe durante todo el ciclo de desarrollo de una aplicación, desde su diseño original hasta el periodo de mantenimiento.

En la entrega de este año han modificado la metodología utilizada para realizar la lista de riesgos. En lugar de evaluar una amenaza según la frecuencia con la que se detecta, se han observado muchos otros elementos. El resultado ha sido un top ten con amenazas valoradas en cuanto a su vector, impacto, predominio y detectabilidad.

El ranking de 2010 es el siguiente:

  1. Inyecciones: Fallos de inyección de código, desde SQL hasta comandos del sistema.

  2. Cross-site Scripting: Anteriormente fue número uno en la lista, es uno de los problemas más extendidos.

  3. Gestión defectuosa de sesiones y autenticación: Son los fallos en las acciones de gestión de sesiones y autenticación.

  4. Referencias directas a objetos inseguras: Fallos al exponer partes privadas o internas de una aplicación sin control y que son de acceso público.

  5. Cross-site Request Forgery: Fallo producido por el desencadenamiento de actuaciones legítimas provenientes de un usuario autenticado, que proceden del control de un atacante que pasa desapercibido para el usuario.

  6. Ausencia de, o mala, configuración de seguridad: Es la ausencia de seguridad o la mala configuración de ésta en el total de los componentes que forman una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

  7. Almacenamiento con cifrado inseguro: Es la falta o mal empleo de los sistemas de cifrado en cuanto a los datos almacenados o utilizados por la aplicación.

  8. Falta de restricciones en accesos por URL: Es la carencia de validación en el procesamiento de URLs que se podrían utilizar para solicitar recursos sin los derechos adecuados o páginas ocultas.

  9. Protección insuficiente de la capa de transporte: Esta en relación con la A7 pero se orienta a la protección del tráfico de red. Es la elección de un cifrado débil o la mala gestión de certificados.

  10. Datos de redirecciones y destinos no validados: Fallos en el tratamiento de redirecciones y utilización de datos no fiables como destino.

 

 

 

 

 

 

 

 

Fuente: Hispasec

, , , , , , , , , , ,

Leave a Reply