Prevenir siempre es mejor, invertir en Ciberseguridad nunca será mala inversión."

El documento OWASP Top 10 está principalmente escrito para desarrolladores y nace en el 2003 para la evaluación de riesgos de aplicaciones web. Aquí te presentamos un resumen:

1. Broken Access Control - Proteger las aplicaciones contra el acceso no autorizado.
   Issue - Fallas en la lógica de la aplicación.


2. Cryptographic Failures - Fallas criptográficas, se refieren a una mala implementación del crifrado o a una falta total de cifrado.
   Issue - Exponer datos confidenciales.


3. Injection - La aplicación ejecuta comandos inesperados y no deseados.
   Issue - La inyección ocurre cuando la aplicación no puede distinguir la entrada maliciosa de su código.


4. Insecure Design - Categoría nueva enfocada en el diseño de aplicaciones y fallas arquitectónicas.
   Issue - Los actores de amenazas sofisticados encuentran y explotan las fallas de diseño.


5. Security Misconfiguration - Configuración incorrecta de los componentes de seguridad de una aplicación.
   Issue - Cómo abrir puertos innecesarios, no cambiar las contraseñas predeterminadas o dejar abiertos los depósitos de almacenamiento en la nube.


6. Vulnerable and Outdated Components - Las aplicaciones web usan muchos componentes o bloques de construcción de fuentes externas (librerías, frameworks, funcionalidad de back-end y front-end).
   Issue - Estas vulnerabilidades provienen del uso de marcos o bibliotecas desactualizados que son fáciles de explotar.


7. Identification and Authentication Failures - Las fallas en la autenticación y la administración de identidades hacen que las aplicaciones sean vulnerables a los actores de amenazas que se hacen pasar por usuarios legítimos.
   Issue - No establecer periodos de validez para las sesiones, permitir contraseñas débiles que son fáciles de adivinar y no limitar la tasa de intentos de inicio de sesión contra ataques automáticos.


8. Software and Data Interity Failures - Categoría nueva hacer suposiciones predeterminadas erróneas dentro de las canalizaciones de desarrollo sobre la integridad del software.
   Issue - En el uso de complementos y librerías de fuentes externas, la falta de verificación de la integridad de estas fuentes presenta el riesgo de código malicioso, acceso no autorizado y compromiso.
9. Security Logging and Monitoring Failures - El registro y la supervisión ayudan a proporcionar responsabilidad de seguridad, visibilidad de eventos, alertas de incidentes y análisis forense.
   Issue - Fallas en la capacidad para detectar y responder.


10. Server - Side Request Forgery (SSRF) - Falsificación de solicitud del lado del servidor.
    Issue - Dado que las aplicaciones web requieren recursos externos, ocurre cuando los piratas informáticos pueden hacer que los servidores realicen solicitudes que ellos controlan.

Para saber un poco más... ¡Contáctanos!