Blog

Borrador OWASP TOP 10 – 2021

El Open Web Application Security Project (o mejor conocido como OWASP) ha publicado su borrador de la lista de las 10 principales amenazas para 2021, lo que revela una modificación de la clasificación de las amenazas que corren en estos tiempos.

En un anuncio realizado el día miércoles 8 de septiembre, OWASP dijo que el borrador de las 10 principales amenazas a la seguridad de las aplicaciones web para 2021 se ha publicado con el propósito para la «revisión por pares, comentarios, traducción y sugerencias de mejora«. Es probable que se publique una lista este año. Los redactores del informe no esperan que la lista cambie mucho, si es que lo hace, con respecto a la clasificación actual.

El borrador ya se encuentra disponible en la web oficial de OWASP, y contiene cambios importantes en la forma en que la organización sin ánimos de lucro, clasifica las amenazas de las aplicaciones web actuales, que no se han actualizado desde el año 2017.

  • A01:2021-Control de acceso roto asciende desde la quinta posición, el 94% de las aplicaciones se sometieron a pruebas para detectar alguna forma de control de acceso roto. Los 34 CWE asignados al control de acceso roto tuvieron más ocurrencias en las aplicaciones que cualquier otra categoría.
  • A02:2021-Fallos criptográficos sube una posición hasta el número 2, antes conocido como Exposición de datos sensibles, que era un síntoma amplio más que una causa principal. El enfoque renovado aquí es sobre los fallos relacionados con la criptografía que a menudo conduce a la exposición de datos sensibles o al compromiso del sistema.
  • A03:2021-Inyección desciende a la tercera posición, el 94% de las aplicaciones se sometieron a pruebas para detectar alguna forma de inyección, y los 33 CWE asignados a esta categoría son los segundos que más ocurren en las aplicaciones. El Cross-site Scripting forma ahora parte de esta categoría en esta edición.
  • A04:2021-Diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con los defectos de diseño. Si realmente queremos «movernos a la izquierda» como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia.
  • A05:2021-La desconfiguración de la seguridad asciende desde el puesto 6 de la edición anterior; el 90% de las aplicaciones se sometieron a pruebas para detectar alguna forma de desconfiguración. Con el aumento de los cambios en el software altamente configurable, no es sorprendente ver que esta categoría suba. La antigua categoría de Entidades Externas XML (XXE) forma parte ahora de esta categoría.
  • A06:2021-Componentes Vulnerables y Obsoletos se titulaba anteriormente Uso de Componentes con Vulnerabilidades Conocidas y es el #2 en la encuesta del sector, pero también tenía suficientes datos para entrar en el Top 10 a través del análisis de datos. Esta categoría sube desde el #9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo. Es la única categoría que no tiene ninguna CVE asignada a los CWE incluidos, por lo que un exploit por defecto y pesos de impacto de 5,0 se tienen en cuenta en sus puntuaciones.
  • A07:2021-Fallos de identificación y autenticación era anteriormente Autenticación rota y está bajando de la segunda posición, y ahora incluye CWEs que están más relacionados con fallos de identificación. Esta categoría sigue formando parte del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
  • A08:2021-Fallos de integridad del software y los datos es una nueva categoría para 2021, que se centra en la realización de suposiciones relacionadas con las actualizaciones de software, los datos críticos y las canalizaciones CI/CD sin verificar la integridad. Uno de los mayores impactos ponderados de los datos de CVE/CVSS se asignó a los 10 CWE de esta categoría. La Deserialización Insegura de 2017 ahora forma parte de esta categoría más amplia.
  • A09:2021-Fallos en el registro y la supervisión de la seguridad era anteriormente Registro y supervisión insuficientes y se añade desde la encuesta del sector (nº 3), subiendo desde el nº 10 anterior. Esta categoría se amplía para incluir más tipos de fallos, es difícil de comprobar y no está bien representada en los datos de CVE/CVSS. Sin embargo, los fallos de esta categoría pueden tener un impacto directo en la visibilidad, la alerta de incidentes y el análisis forense.
  • A10:2021-Server-Side Request Forgery se añade desde la encuesta de la industria (#1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media en cuanto a potencial de explotación e impacto. Esta categoría representa el escenario en el que los profesionales de la industria nos dicen que es importante, aunque no esté ilustrado en los datos en este momento.

Más información:

https://owasp.org/Top10/

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad