Conoce el Top 10 de las vulnerabilidades web de 2021
¿Qué es OWASP?
La Fundación OWASP es un organismo sin ánimo de lucro que proporciona recursos gratuitos para la comunidad, como publicaciones, artículos, softwares de testeo, etc. OWASP (Open Web Application Security Project) es un proyecto de código abierto que promueve el desarrollo de un software seguro, apoya proyectos de seguridad informática y está orientado a la prestación de servicios orientados a la web, ofreciendo materiales de formación y software seguros.
Sus publicaciones con más renombre son el OWASP Top 10 de vulnerabilidades de aplicaciones web, la Guía de desarrollo seguro de aplicaciones web y la Guía de testeo de aplicaciones web, entre otras.
¿Qué es la lista Top 10 de OWASP?
La lista Top 10 de vulnerabilidades de aplicaciones web se actualiza cada 3 o 4 años y es la publicación más sonada de la fundación. En este informe se muestran las 10 vulnerabilidades web que más reincidencia han tenido en los últimos años, aunque no se trata de una clasificación, si no que se superponen.
OWASP acaba de sacar su propuesta y predicción de la lista Top 10 de 2021, basándose en los datos, la estadística y en un estudio a gran escala de las vulnerabilidades con mayor tasa de incidencia de los últimos 4 años, puesto que la última lista publicada fue el Top 10 vulnerabilidades de aplicaciones web de 2017. En este artículo vamos a analizar estas vulnerabilidades y qué hacer para evitarlas.
Predicciones OWASP 2021
Algunas de las vulnerabilidades nunca pasan de moda y siguen siendo las que más riesgos presentan en 2021. Esta imagen muestra la comparativa de la evolución de las vulnerabilidades de 2017 y las de 2021.
- Broken Access Control – Fallo en el control de acceso: El atacante elude las comprobaciones de control de acceso modificando la URL, la HTML o con una herramienta de ataque. Esto permite al atacante cambiar la clave de un usuario y acceder a su cuenta; con esto, se puede actuar como administrador desde una cuenta de usuario.
- Cryptographic Failures – Fallos en la encriptación: Fallos en la encriptación de la información de la web que pueden resultar en fugas de información u otras vulnerabilidades.
- Injection: Ocurre cuando un atacante envía datos no válidos a la aplicación web con la intención de que estos obliguen a la aplicación a actuar de una forma para la que no está diseñada.
- Insecure Design – Diseño no seguro: El propio diseño de la página web puede presentar algunas vulnerabilidades o fallos en las actualizaciones SSL que hacen que la conexión no sea segura.
- Security Misconfiguration – desconfiguraciones de seguridad: Falta de mantenimiento en la configuración de la web. Debemos asegurarnos de que todas las “capas” de la web son seguras, ya que, si no, estaremos dando acceso a datos confidenciales y banda ancha a los atacantes.
- Vulnerable and Outdated Components – componentes vulnerables y obsoletos: Esta vulnerabilidad se refiere tanto a componentes de uso activo como a componentes dependientes de otros. Si el software es vulnerable, incompatible u obsoleto, por ejemplo.
- Identification and Authentication Failures – fallos de identificación y autenticación: Esto permite ataques automatizados en los que el cibercriminal se hace con una lista de usuarios y contraseñas válidas, resultando así en un robo de credenciales y datos confidenciales de los usuarios.
- Software and Data Integrity Failures – fallos en la integridad del software y de los datos: Están relacionados con el código y la infraestructura de la web. Si la estructura no es segura, el cibercriminal puede acceder a ella y modificarla. Esto ocurre, sobre todo, al utilizar plugins o módulos de fuentes no confiables que comprometen la aplicación web.
- Security Loggin and Monitoring Failures – fallos de seguridad en el monitoreo o la autenticación: Los atacantes se aprovechan de la falta de monitoreo para conseguir sus objetivos. Por ejemplo, si nos sale la alerta de que tenemos que actualizar el antivirus o de que se han detectado X potenciales malwares en nuestro equipo, pero, sin embargo, las ignoramos.
- Server-Side Request Forgery – falsificación de solicitud del servidor (SSRF): Es una vulnerabilidad que permite al criminal ordenar acciones a dominios de su elección. Por ejemplo, si el atacante consigue forzar al servidor para que se conecte a sistemas externos resultará en fuga de información.
¿Qué hacemos para evitarlo?
Las empresas suelen tardar más de 6 meses en detectar una brecha de seguridad (ZD Net). Por ello, la ciberseguridad es como la chaqueta que te pones antes de salir de casa por si refrescara por la noche.
Ante los potenciales ataques de cibercriminales y conociendo algunas de las vulnerabilidades web que existen, el próximo paso a tomar está claro: prevenir y protegerse. Para eso estamos nosotros. Te ofrecemos auditorías web para analizar las vulnerabilidades de tu página web y eliminarlas, entre otros muchos servicios para la seguridad de tu empresa.
Contáctanos y encuentra más información sobre nosotros en cibinar.com; lamentarse no sirve de nada, protegerse sí.