Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1084
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
septiembre
(Total:
56
)
- Caduca un certificado raíz SSL que afectará dispos...
- Presentan teléfono móvil: Fairphone 4 con 5 años d...
- Astro: el robot asistente de Amazon: seguridad dom...
- Activar el Modo Dios en Windows 10
- XSS o Cross‑Site Scripting: tipos de ataque y prev...
- Herramientas SysInternals para administrar y monit...
- Significado pitidos placas bases Asus, GigaByte, A...
- Mozilla y Apple en contra que Google implemente un...
- Europa obligará a utilizar cargador estándar USB-C...
- Vulnerabilidad protocolo AutoDiscover de Microsoff...
- Filtración masiva datos privados de agencia inmobi...
- 11 graves vulnerabilidades en software Nagios
- Tipos de Phishing y trucos para detectarlo
- Ministerio de Defensa de Lituania aconseja a sus c...
- SOVA es un nuevo y sofisticado troyano bancario pa...
- Google restablecerá automáticamente los permisos d...
- Fallece a los 81 años, Clive Sinclair, creador de ...
- Detenidos 106 miembros de la mafia italiana en Ten...
- Elegir cable de red: categorías y velocidades
- Microsoft lanza para todos el inicio de sesión sin...
- El administrador sitio web para realizar ataques D...
- Turnos de vacunación: la nueva estafa para robarte...
- OMIGOD es una grave vulnerabilidad en máquinas vir...
- Disponible herramienta gratuita descifrado víctima...
- Apple presenta los nuevos iPhone 13
- Facebook admite en documentos internos que Instagr...
- Vulnerabilidad HP OMEN Gaming Hub afecta a millone...
- Disponible nueva versión de Kali Linux 2021.3
- Actualizaciones de seguridad importantes de Micros...
- Vulnerabilidad en Ghostscript explotada a través d...
- Programa secreto de Facebook permite a usuarios VI...
- WhatsApp finalmente permitirá cifrar copias de seg...
- Apple soluciona vulnerabilidad en iMessage permití...
- Red informática de las Naciones Unidas fue hackeada
- Ataques Denegación Servicio DDoS y DrDDoS: herrami...
- Digi España ofrece un servicio de fibra de 10 Gbps...
- El 64% del tráfico de Internet procede de bots, y ...
- Borrador OWASP Top 10 2021
- C1b3rWall Academy 2021: completo curso online grat...
- Nueva botnet Mēris realiza ataque DDoS récord al p...
- Justicia Estados Unidos condena 4 años vendedor ca...
- Expuestas credenciales de 500 mil cuentas VPN comp...
- Ofrecen hasta 1 millón de dólares a cambio de infe...
- Un anuncio de Microsoft Teams bloquea y ralentiza ...
- El aumento de ransomware se ha multiplicado por 10...
- Nueva y grave vulnerabilidad en documentos Office ...
- ProtonMail comparte la dirección IP de un activist...
- Alemania quiere 7 años de actualizaciones de segur...
- Filtrado código fuente del ransomware Babuk
- Google pagará Apple 15.000 millones dólares por se...
- Millones de dispositivos Bluetooth en riesgo por f...
- Irlanda multa a WhatsApp con 225 millones de euros...
- Cable malicioso de carga Lightning de Apple permie...
- Consiguen ocultar malware en la VRAM de las tarjet...
- Vulnerabilidad ProxyToken en Microsoft Exchange p...
- Empresa de reparto con drones alcanza las 100 mil ...
-
▼
septiembre
(Total:
56
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
En WhatsApp se han dicho verdaderas barbaridades. Todos hemos cometido el error de escribir algo en caliente . Y de arrepentirnos. Tal vez ...
Borrador OWASP Top 10 2021
El Open Web Application Security Project (o mejor conocido como OWASP) ha publicado su borrador de la lista de las 10 principales amenazas para 2021, lo que revela una modificación de la clasificación de las amenazas que corren en estos tiempos.
OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la Open Web Application Security Project, un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.
El OWASP Top 10 2021 es completamente nuevo, con un nuevo diseño gráfico y una infografía de una página disponible y listo para imprimir. El top aún se encuentra en DRAFT y se siguen recibiendo comentarios y preparando la actualización gráfica, a tiempo para el lanzamiento oficial del vigésimo aniversario de OWASP (24/09).
Esta nueva entrega del Top 10 está más basada en datos que nunca, pero no solo y ciegamente basada en datos. Se seleccionaron ocho de las diez categorías desde los datos aportados y dos categorías desde una encuesta de la industria de alto nivel. Se hace de esta forma por una razón fundamental: mirar los datos aportados es "mirar el pasado". Los investigadores de AppSec se toman su tiempo para encontrar nuevas vulnerabilidades y nuevas formas de probarlas. Se necesita tiempo para integrar estas pruebas en herramientas y procesos. Para cuando se puede probar de manera confiable una debilidad a escala, es probable que hayan pasado años. Para equilibrar ese punto de vista, se utiliza una encuesta de la industria para preguntar a las personas en primera línea qué ven como debilidades esenciales que los datos pueden no mostrar aún.
Hay algunos cambios críticos que adoptamos para continuar madurando en el Top 10
¿Qué ha cambiado en el Top 10 para 2021?
Hay tres categorías nuevas, cuatro categorías con cambios de nomenclatura y alcance, y cierta consolidación de algunas vulnerabilidades conocidas previamente.
- A01:2021-Control de acceso roto asciende desde la quinta posición, el 94% de las aplicaciones se sometieron a pruebas para detectar alguna forma de control de acceso roto. Los 34 CWE asignados al control de acceso roto tuvieron más ocurrencias en las aplicaciones que cualquier otra categoría.
- A02:2021-Fallos criptográficos sube una posición hasta el número 2, antes conocido como Exposición de datos sensibles, que era un síntoma amplio más que una causa principal. El enfoque renovado aquí es sobre los fallos relacionados con la criptografía que a menudo conduce a la exposición de datos sensibles o al compromiso del sistema.
- A03:2021-Inyección desciende a la tercera posición, el 94% de las aplicaciones se sometieron a pruebas para detectar alguna forma de inyección, y los 33 CWE asignados a esta categoría son los segundos que más ocurren en las aplicaciones. El Cross-site Scripting forma ahora parte de esta categoría en esta edición.
- A04:2021-Diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con los defectos de diseño. Si realmente queremos «movernos a la izquierda» como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia.
- A05:2021-La desconfiguración de la seguridad asciende desde el puesto 6 de la edición anterior; el 90% de las aplicaciones se sometieron a pruebas para detectar alguna forma de desconfiguración. Con el aumento de los cambios en el software altamente configurable, no es sorprendente ver que esta categoría suba. La antigua categoría de Entidades Externas XML (XXE) forma parte ahora de esta categoría.
- A06:2021-Componentes Vulnerables y Obsoletos se titulaba anteriormente Uso de Componentes con Vulnerabilidades Conocidas y es el #2 en la encuesta del sector, pero también tenía suficientes datos para entrar en el Top 10 a través del análisis de datos. Esta categoría sube desde el #9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo. Es la única categoría que no tiene ninguna CVE asignada a los CWE incluidos, por lo que un exploit por defecto y pesos de impacto de 5,0 se tienen en cuenta en sus puntuaciones.
- A07:2021-Fallos de identificación y autenticación era anteriormente Autenticación rota y está bajando de la segunda posición, y ahora incluye CWEs que están más relacionados con fallos de identificación. Esta categoría sigue formando parte del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
- A08:2021-Fallos de integridad del software y los datos es una nueva categoría para 2021, que se centra en la realización de suposiciones relacionadas con las actualizaciones de software, los datos críticos y las canalizaciones CI/CD sin verificar la integridad. Uno de los mayores impactos ponderados de los datos de CVE/CVSS se asignó a los 10 CWE de esta categoría. La Deserialización Insegura de 2017 ahora forma parte de esta categoría más amplia.
- A09:2021-Fallos en el registro y la supervisión de la seguridad era anteriormente Registro y supervisión insuficientes y se añade desde la encuesta del sector (nº 3), subiendo desde el nº 10 anterior. Esta categoría se amplía para incluir más tipos de fallos, es difícil de comprobar y no está bien representada en los datos de CVE/CVSS. Sin embargo, los fallos de esta categoría pueden tener un impacto directo en la visibilidad, la alerta de incidentes y el análisis forense.
- A10:2021-Server-Side Request Forgery se añade desde la encuesta de la industria (#1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media en cuanto a potencial de explotación e impacto. Esta categoría representa el escenario en el que los profesionales de la industria nos dicen que es importante, aunque no esté ilustrado en los datos en este momento.
Más información
- A01:2021 – Broken Access Control
- A02:2021 – Cryptographic Failures
- A03:2021 – Injection
- A04:2021 – Insecure Design
- A05:2021 – Security Misconfiguration
- A06:2021 – Vulnerable and Outdated Components
- A07:2021 – Identification and Authentication Failures
- A08:2021 – Software and Data Integrity Failures
- A09:2021 – Security Logging and Monitoring Failures
- A10:2021 – Server Side Request Forgery
Años anteriores:
Fuentes:
https://blog.segu-info.com.ar/2021/09/bienvenido-owasp-top-10-2021-i.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.