2. Top 10 de vulnerabilidades de
OWASP para el 2013
A medida que nuestra infraestructura digital crece, se
hace cada vez más complejo lograr la seguridad total
de las aplicaciones web. Diariamente hay muchos
ataques cibernéticos y ya no nos podemos dar el lujo
de tolerar los problemas de seguridad como los que se
presentan en este OWASP Top 10.
3. OWAS TOP 10 seguridad total de las
aplicaciones web
5. A2 Broken Authentication and Session
Management (anteriormente A3)
Corresponde al mal manejo de las sesiones en aquellas
aplicaciones que utilizan autenticación.
6. A3 Cross-Site Scripting (XSS)
(anteriormente A2
Ocurre cuando existe validación pobre de la
información ingresada por el atacante.
7. A4 Insecure Direct Object
References:
Puede derivar en un acceso no autorizado a
información crítica debido a errores en el diseño o
desarrollo.
9. A6 Sensitive Data Exposure:
Se refiere a la protección incorrecta de datos críticos
tales como, por ejemplo, números de tarjetas de
crédito, contraseñas, entre otros´.
10. A7 Missing Function Level Access
Control:
Corresponde a la falta de controles desde el servidor,
permitiendo a un posible atacante acceder a funciones
a las que no debería
11. A8 Cross-Site Request Forgery (CSRF)
(anteriormente A5):
Permite a un atacante generar peticiones sobre una
aplicación vulnerable a partir de la sesión de la víctima
12. A9 Using Known Vulnerable Components
(anteriormente formaba parte de A6):
Corresponde a la explotación de librerías, frameworks
y otros componentes vulnerables por parte de un
atacante con el fin de obtener acceso o combinar con
otros ataques
13. A10 Unvalidated Redirects and Forwards:
Los atacantes aprovechan el uso de redirecciones de
sitios web a otros sitios utilizando información no
confiable para redirigir a las víctimas a sitios de
phishing o que contienen malware.