OWASP Top 10 como referencia

Hoy en día es fundamental conocer en todo momento en qué estado se encuentra nuestra aplicación o sitio Web, desde el punto de visto de la seguridad. Son muchas las amenazas que a día de hoy ponen en continuo peligro nuestro proyecto Web, máximo si durante su desarrollo no hemos tenido presente la seguridad o si durante su implantación o mantenimiento, conceptos como vulnerabilidades o exploits ni nos suenan o importan. Para aquellos que si tengan esta preocupación pueden coger OWASP Top 10 como referencia a la hora de evaluar la seguridad Web.

Logo de OWASP

El objetio del proyecto OWASP (organismo sin ánimo de lucro) es determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo.

Durante 2004, 2007, 2010 y ahora 2013 se ha ido publicando un listado de las 10 amenazas más importantes y peligrosas según OWASP. Durante los últimos años, vulnerabilidades como SQL Injection o XSS copaban las dos primeras plazas, pero este año, XSS ha bajado una posición, que ha sido ocupada por la ruptura de la autenticación y de la gestión de las sesiones en las aplicaciones Web.

OWASP Top 3

El resto de las amenazas que completan el Top 10 de OWASP de este año son las siguiente:

OWASP - Top 10 - Resto

Sigue sorprendiendo que las vulnerabilidades de tipo inyección, como son las de SQL, a pesar de que se conocen desde hace ya muchos años, siguen estando muy presentes todavía en sitios y aplicaciones Web. Basta con hacer un poco de Google Hacking para descubrir sitios Web que por los mensajes de error que devuelven son susceptibles de ser vulnerables a SQL Injection.

Google Hacking - SQL Injection

Haciendo uso de unos operadores y comandos de Google, para llevar a cabo técnicas de Google Hacking se pueden obtener de forma sencilla páginas Web susceptibles a ser vulnerables a SQL Injection, de ahí la importancia de conocer en todo momento el estado de nuestros proyectos, para evitar ser víctimas de algún ataque. Guías, herramientas y una gran cantidad de recursos de OWASP nos serán muy útiles para llevar a cabo esta labor.

Como siempre, espero que el artículo sea de vuestro interés.

Saludos!

Miguel Ángel Arroyo

Leave a Reply

You must be logged in to post a comment.