Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Borrador OWASP Top 10 2021


El Open Web Application Security Project (o mejor conocido como OWASP) ha publicado su borrador de la lista de las 10 principales amenazas para 2021, lo que revela una modificación de la clasificación de las amenazas que corren en estos tiempos.

 


 

OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la Open Web Application Security Project, un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

El OWASP Top 10 2021 es completamente nuevo, con un nuevo diseño gráfico y una infografía de una página disponible y listo para imprimir. El top aún se encuentra en DRAFT y se siguen recibiendo comentarios y preparando la actualización gráfica, a tiempo para el lanzamiento oficial del vigésimo aniversario de OWASP (24/09).

Esta nueva entrega del Top 10 está más basada en datos que nunca, pero no solo y ciegamente basada en datos. Se seleccionaron ocho de las diez categorías desde los datos aportados y dos categorías desde una encuesta de la industria de alto nivel. Se hace de esta forma por una razón fundamental: mirar los datos aportados es "mirar el pasado". Los investigadores de AppSec se toman su tiempo para encontrar nuevas vulnerabilidades y nuevas formas de probarlas. Se necesita tiempo para integrar estas pruebas en herramientas y procesos. Para cuando se puede probar de manera confiable una debilidad a escala, es probable que hayan pasado años. Para equilibrar ese punto de vista, se utiliza una encuesta de la industria para preguntar a las personas en primera línea qué ven como debilidades esenciales que los datos pueden no mostrar aún.

Hay algunos cambios críticos que adoptamos para continuar madurando en el Top 10


 

¿Qué ha cambiado en el Top 10 para 2021?

Hay tres categorías nuevas, cuatro categorías con cambios de nomenclatura y alcance, y cierta consolidación de algunas vulnerabilidades conocidas previamente. 

 

  • A01:2021-Control de acceso roto asciende desde la quinta posición, el 94% de las aplicaciones se sometieron a pruebas para detectar alguna forma de control de acceso roto. Los 34 CWE asignados al control de acceso roto tuvieron más ocurrencias en las aplicaciones que cualquier otra categoría.
  • A02:2021-Fallos criptográficos sube una posición hasta el número 2, antes conocido como Exposición de datos sensibles, que era un síntoma amplio más que una causa principal. El enfoque renovado aquí es sobre los fallos relacionados con la criptografía que a menudo conduce a la exposición de datos sensibles o al compromiso del sistema.
  • A03:2021-Inyección desciende a la tercera posición, el 94% de las aplicaciones se sometieron a pruebas para detectar alguna forma de inyección, y los 33 CWE asignados a esta categoría son los segundos que más ocurren en las aplicaciones. El Cross-site Scripting forma ahora parte de esta categoría en esta edición.
  • A04:2021-Diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con los defectos de diseño. Si realmente queremos «movernos a la izquierda» como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia.
  • A05:2021-La desconfiguración de la seguridad asciende desde el puesto 6 de la edición anterior; el 90% de las aplicaciones se sometieron a pruebas para detectar alguna forma de desconfiguración. Con el aumento de los cambios en el software altamente configurable, no es sorprendente ver que esta categoría suba. La antigua categoría de Entidades Externas XML (XXE) forma parte ahora de esta categoría.
  • A06:2021-Componentes Vulnerables y Obsoletos se titulaba anteriormente Uso de Componentes con Vulnerabilidades Conocidas y es el #2 en la encuesta del sector, pero también tenía suficientes datos para entrar en el Top 10 a través del análisis de datos. Esta categoría sube desde el #9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo. Es la única categoría que no tiene ninguna CVE asignada a los CWE incluidos, por lo que un exploit por defecto y pesos de impacto de 5,0 se tienen en cuenta en sus puntuaciones.
  • A07:2021-Fallos de identificación y autenticación era anteriormente Autenticación rota y está bajando de la segunda posición, y ahora incluye CWEs que están más relacionados con fallos de identificación. Esta categoría sigue formando parte del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
  • A08:2021-Fallos de integridad del software y los datos es una nueva categoría para 2021, que se centra en la realización de suposiciones relacionadas con las actualizaciones de software, los datos críticos y las canalizaciones CI/CD sin verificar la integridad. Uno de los mayores impactos ponderados de los datos de CVE/CVSS se asignó a los 10 CWE de esta categoría. La Deserialización Insegura de 2017 ahora forma parte de esta categoría más amplia.
  • A09:2021-Fallos en el registro y la supervisión de la seguridad era anteriormente Registro y supervisión insuficientes y se añade desde la encuesta del sector (nº 3), subiendo desde el nº 10 anterior. Esta categoría se amplía para incluir más tipos de fallos, es difícil de comprobar y no está bien representada en los datos de CVE/CVSS. Sin embargo, los fallos de esta categoría pueden tener un impacto directo en la visibilidad, la alerta de incidentes y el análisis forense.
  • A10:2021-Server-Side Request Forgery se añade desde la encuesta de la industria (#1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media en cuanto a potencial de explotación e impacto. Esta categoría representa el escenario en el que los profesionales de la industria nos dicen que es importante, aunque no esté ilustrado en los datos en este momento.

 

Más información

Años anteriores:


 

 

Fuentes:

https://blog.segu-info.com.ar/2021/09/bienvenido-owasp-top-10-2021-i.html

https://www.cronup.com/borrador-owasp-top-10-2021/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.