Updates OWASP Top Ten Project/es

From OWASP
Jump to: navigation, search
¿Que hay de nuevo?
OWASP ha recorrido un largo camino desde que la última lista fuer publicada en Enero de 2003. Esta actualización incorpora todas las discuciones, puntos de vista, opiniones y debates en la comunidad OWASP de los ultimos 12 meses. En general, ha habido mejoras menores a todas las secciones de la lista y solo algunos cambios mayores:
Alineación a WAS-XML
Uno de los proyectos que inició en 2003 es el comité técnico de seguridad en aplicaciones Web (WAS TC por sus siglas en inglés) en OASIS. El propósito de el WAS TC es producir un esquema de clasificación para vulnerabilidades en aplicaciones Web, un modelo para proveer lineamientos para los ratings de las amenazas, impacto y riesgos. En un equema para describir las condiciones en seguridad Web que pueden ser usadas por herramientas de pruebas y protección. El proyecto de las 10 mayores de OWASP ha usado el WAS TC como referencia para reclasificar la lista y proveer una solución estandarizada sobre vulnerabilidades de seguridad en aplicaciones Web. El listado de WAS define un lenguaje estandar para discutir la seguridad en aplicaciones web, y nosotros adoptamos ese vocabulario aqui.
Adición de negación de servicio
La única categoria de alto nivel que cambió fue la adición de A9 Negación de Servicio a la lista. Nuestra investigación mostro que un amplio espectro de organizaciones son susceptibles a este tipo de ataque. Basándonos en al probabilidad un ataque de negación de servicio y las consecuencias si el ataque es exitoso, hemos determinado que merece ser incluida en la lista. Para acomodar este nuevo tema, hemos combinado el A9 Fallas de administración remota del año padaso en la categoria A2 Control de acceso disfuncional dado que es un caso especial de esa categoría. Creemos que es apropiado, dado que los tipos de fallas en A2 son regularmente las mismas que en A9 y requieren el mismo tipo de remediación.

La tabla abajo ilustra la relación entre la nueva lista, la lista del año pasado y la lista del WAS TC.

Nueva lista de las 10 mayores 2004
Lista de las 10 mayores 2003
Nueva lista de WAS
A1 Entradas no validadas A1 Parámetros no validados Validación de entradas
A2 Control de Accesso Disfuncional A2 Control de Accesso Disfuncional
(A9 Fallas de administración remota)
Control de Acceso
A3 Autentificación y manejo de sesiones disfuncional A3 Cuentas y manejo de sesiones disfuncional Antentificación y manejo de sesiones
A4 Fallas de Secuencias de Comandos en Sitios Cruzados (XSS) A4 Fallas de Secuencias de Comandos en Sitios Cruzados (XSS) Validación de entradas -> Secuencia de Comandos en Sitios Cruzados (XSS)
A5 Desbordamientos de Memoria A5 Desbordamientos de Memoria Desbordamientos de Memoria
A6 Fallas de Inyección A6 Fallas de inyección de comandos Validación de Entrada -> Inyección
A7 Manejo inapropiado de errores A7 Problemas de manejo de errores Manejo de Errores
A8 Almacenamiento Inseguro A8 Uso inseguro de criptografía Protección de Datos
A9 Negación de Servicio N/A Disponibilidad
A10 Gestión Insegura de Configuraciones A10 Fallas de configuraciones en servidores Web y de applicación Gestión de configuración de la aplicación
Gestión de configuración de infraestructura