¿Qué es lo nuevo en el OWASP Top 10 2017 R1?

El OWASP Top 10 refleja un consenso global sobre los riesgos más críticos en Aplicaciones Web. Es uno de los principales esfuerzos del Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) y su objetivo es concientizar a los especialistas y a la sociedad, en sentido general, sobre estos problemas.

Desde julio del pasado año 2016 comenzó el proceso para la recopilación de información y actualización del OWASP Top 10. Las versiones responden al comportamiento de los problemas y vulnerabilidades en el tiempo. Por ese motivo, la última versión es del 2013, lo que quiere decir que hasta el 2016 no hubo necesidad de modificar la lista. Puedes acceder al borrado de OWASP Top 10 2017 R1 desde aquí.

La versión final será publicada entre los meses de julio y agosto, después que se integren los comentarios y opiniones de los capítulos e instituciones que trabajan con OWASP.

¿Que es lo nuevo con respecto a la última versión del año 2013?

Regresa la categoría Control de Acceso Interrumpido (A4 Broken Access Control)

Las categorías A4 (Referencia Directa Insegura a Objetos) y A7 (Ausencia de Control de Acceso a las Funciones) se vuelven a integrar en la categoría Control de Acceso Interrumpido. Ambos elementos estuvieron unidos hasta el 2007, cuando OWASP, con el objetivo de visibilizar más este problema, las separó en categorías diferentes.

En el blog hemos publicado artículos referentes a estos problemas titulados:

Se adiciona una nueva categoría: A7 – Insuficiente Protección ante Ataques

Durante mucho tiempo OWASP tenía previsto incluir los problemas de defensas de las aplicaciones web contra ataques automatizados. En la actualidad, el análisis de los datos recopilados demostró además que la mayoría de las API carecen de medidas elementales para detectar, prevenir y responder, de forma manual y automatizada a los ciberataques. También carecen de mecanismos que permitan aplicar parches de manera inmediata.

Este es un tema que siempre exponemos en las charlas y cursos que impartimos. Recientemente lo hicimos en:

En esta temática se han publicado artículos en el blog que ayudan a comprender esta categoría:

Se adiciona una nueva categoría: A10 – API Desprotegida

Esta es una cuestión que gana mayor importancia cada día. La tendencia es hacia la interacción con las aplicaciones Web a través de Agentes de Usuarios diferentes a los clásicos navegadores Web. Cada día se accede a más contenidos a través de aplicaciones móviles basadas en Android, iOS y otras. Este comportamiento muchas veces oculta que lo que está por detrás, recibiendo y enviando datos es una aplicaciones Web y el protocolo de comunicación por supuesto es HTTP.

Esta comunicación se establece a través de APIs basadas en SOAP/XML, REST/JSON, RPC, GWT, etc, y muchas veces presentan vulnerabilidades importantes. En el blog hemos tratado este tema desde junio del pasado año cuando mencionabamos el concepto de Puntos de Entrada, también se estuvo divulgando en diciembre la importancia de manejar adecuadamente el XML-RPC  para evitar ataques de fuerza bruta amplificado con el método system.multicall. Resulta por tanto, relevante para nosotros que ahora aparezca esta categoría nueva, de ese modo ayudará a concientizar mejor este problema.

En el artículo de Sucuri Vulnerabilidad del REST API en WordPress Usado para Defacement, puede apreciarse el nivel de vulnerabilidad que presentan  muchas de estas API.

Se elimina la categoría A10 – Redirecciones y reenvíos no validados

A partir de los datos recopilados se determinó que este riesgo ha dejado de tener la relevancia de hace unos años atrás, por tanto, felizmente no clasifica dentro de los 10 más importantes. Digo felizmente porque eso significa que ha sido enfrentado y solucionado con éxito.

Conclusiones

El OWASP Top 10 representa un consenso sobre cuales son los principales riesgos de seguridad en la Web en la actualidad. Coincido con los cambios propuestos y me es imposible estar mas de acuerdo con la adición de Insuficiente Protección ante Ataques y API Desprotegida, pues son cosas que hemos estado planteando en el último año en diversos espacios de intercambio científico.

Solo me queda recomendarte la descargar de  la  OWASP Top 10 2017 R1 y si tienes algun criterio al respecto puedes hacerlo llegar a su lista de correo.  Te recomiendo además la lectura del artículo Publicada OWASP top Ten 2017 Release Candidate 1 si quieres conocer otros detalles.

S4lud0s y h4st4 el próx1m0 p0st!!!

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s