La lista Top 10 es una guía ampliamente utilizada sobre las amenazas de seguridad de las aplicaciones web actuales.
El Proyecto de Código Abierto de Seguridad de Aplicaciones Web (OWASP) ha publicado su borrador de la lista Top 10 2021 que revela un cambio en la forma en que se clasifican las amenazas modernas.
El borrador del informe, disponible en línea (https://owasp.org/Top10/), contiene cambios importantes en la forma en que la organización sin fines de lucro categoriza las amenazas actuales de las aplicaciones web, teniendo en cuenta que la lista no se ha actualizado desde el año 2017.
OWASP ha actualizado la metodología empleada para generar la lista Top 10. Ocho de cada 10 categorías se basan en datos y dos se han seleccionado en función de las respuestas de las encuestas de la industria.
Cuando la organización analiza la información de amenazas, proporcionada por empresas de ciberseguridad, hay factores de datos específicos que se utilizan para generar la lista Top 10. Estos incluyen el mapeo de software y hardware en base a la Common Weakness Enumeration (CWE), el porcentaje de aplicaciones vulnerables a un CWE en particular y su impacto en las organizaciones.
OWASP también tiene en cuenta el peso del exploit y las métricas promedio de una vulnerabilidad, en función de las puntuaciones de CVSSv2 y CVSSv3 (Common Vulnerability Scoring System), y el número total de aplicaciones que tienen CWE asignadas a una categoría, así como el número total de Common Vulnerabilities and Exposures (CVE) atribuibles a un tipo particular de amenaza.
Se han incluído tres categorías nuevas: "Diseño inseguro", "Fallos de integridad de datos y software" y un grupo para ataques de "Falsificación de solicitudes del lado del servidor (SSRF)".
La categoría "Entidades externas XML (XXE)" de 2017 pasa a formar parte de la categoría de "Configuración errónea de seguridad" de 2021. Por otro lado, se ha añadido "Cross-Site Scripting (XSS)" a la sección "Inyección" y "Deserialización insegura" ahora forma parte de "Fallos en la integridad de los datos y software".
La inclusión de "Diseño inseguro" y "Fallos en la integridad de datos y software" muestran cómo la industria del software continúa desplazándose hacia la izquierda (Shifts Left) al centrarse más en el diseño y la arquitectura seguros así como en el modelado de amenazas.
“A menudo, el diseño seguro y el modelado de amenazas se pasan por alto debido a la velocidad del desarrollo actual. También es importante ver finalmente a OWASP destacando la seguridad del desarrollo de software y la integración CI/CD de procesos como otra área de enfoque a tener en cuenta" ha destacado Tom Eston, director de práctica de seguridad de aplicaciones en Bishop Fox.
1. A01:2021-Broken Access Control: 34 CWEs. Access control vulnerabilities include privilege escalation, malicious URL modification, access control bypass, CORS misconfiguration, and tampering with primary keys.
2. A02:2021-Cryptographic Failures: 29 CWEs. This includes security failures when data is in transit or at rest, such as the implementation of weak cryptographic algorithms, poor or lax key generation, a failure to implement encryption or to verify certificates, and the transmission of data in cleartext.
3. A03:2021-Injection: 33 CWEs. Common injections impact SQL, NoSQL, OS command, and LDAP, and may be caused by sanitization failures, XSS vulnerabilities, and a lack of protection for file paths.
4. A04:2021-Insecure Design: 40 CWEs. Insecure design elements vary widely, but are generally described by OWASP as “missing or ineffective control design”. Areas of concern include a lack of protection for stored data, logic programming problems, and displaying content that reveals sensitive information.
5. A05:2021-Security Misconfiguration: 20 CWEs. Applications may be considered vulnerable if they lack security hardening, if there are unnecessary features – such as a too-open hand when it comes to privileges – if default accounts are kept active, and if security features are not configured correctly.
6. A06:2021-Vulnerable and Outdated Components: Three CWEs. This category focuses on client and server-side components, failures to maintain components, out-of-date support systems – such as an OS, web servers, or libraries – as well as component misconfiguration.
7. A07:2021-Identification and Authentication Failures: 22 CWEs. Security issues include improper authentication, session fixation, certificate mismatches, permitting weak credentials, and a lack of protection against brute-force attacks.
8. A08:2021-Software and Data Integrity Failures: 10 CWEs. Integrity is the focal point of this category, and any failure to do so properly – such as the deserialization of untrusted data, or not checking code and updates when pulled from a remote source – may be in scope.
9. A09:2021-Security Logging and Monitoring Failures: Four CWEs. Issues that can hamper the analysis of a data breach or other form of attack, including logging problems, failing to record security-relevant information feeds, or only logging data locally come under this category.
10. A10:2021-Server-Side Request Forgery: One CWE. SSRF vulnerabilities occur when a server does not validate user-submitted URLs when they fetch remote resources. OWASP says that the adoption of cloud services and increasingly complex architectures have ramped up the severity of SSRF attacks.
Las siguientes organizaciones (junto a algunas entidades anónimas) amablemente donaron datos de más de 500,000 aplicaciones para recopilar el conjunto de datos de seguridad de aplicaciones web más grande y completo.
El borrador del informe, disponible en línea (https://owasp.org/Top10/), contiene cambios importantes en la forma en que la organización sin fines de lucro categoriza las amenazas actuales de las aplicaciones web, teniendo en cuenta que la lista no se ha actualizado desde el año 2017.
OWASP ha actualizado la metodología empleada para generar la lista Top 10. Ocho de cada 10 categorías se basan en datos y dos se han seleccionado en función de las respuestas de las encuestas de la industria.
Cuando la organización analiza la información de amenazas, proporcionada por empresas de ciberseguridad, hay factores de datos específicos que se utilizan para generar la lista Top 10. Estos incluyen el mapeo de software y hardware en base a la Common Weakness Enumeration (CWE), el porcentaje de aplicaciones vulnerables a un CWE en particular y su impacto en las organizaciones.
OWASP también tiene en cuenta el peso del exploit y las métricas promedio de una vulnerabilidad, en función de las puntuaciones de CVSSv2 y CVSSv3 (Common Vulnerability Scoring System), y el número total de aplicaciones que tienen CWE asignadas a una categoría, así como el número total de Common Vulnerabilities and Exposures (CVE) atribuibles a un tipo particular de amenaza.
Se han incluído tres categorías nuevas: "Diseño inseguro", "Fallos de integridad de datos y software" y un grupo para ataques de "Falsificación de solicitudes del lado del servidor (SSRF)".
La categoría "Entidades externas XML (XXE)" de 2017 pasa a formar parte de la categoría de "Configuración errónea de seguridad" de 2021. Por otro lado, se ha añadido "Cross-Site Scripting (XSS)" a la sección "Inyección" y "Deserialización insegura" ahora forma parte de "Fallos en la integridad de los datos y software".
State of play: OWASP Top 10 changes in 2021 (draft edition)
OWASP se desplaza a la izquierda
La inclusión de "Diseño inseguro" y "Fallos en la integridad de datos y software" muestran cómo la industria del software continúa desplazándose hacia la izquierda (Shifts Left) al centrarse más en el diseño y la arquitectura seguros así como en el modelado de amenazas.
“A menudo, el diseño seguro y el modelado de amenazas se pasan por alto debido a la velocidad del desarrollo actual. También es importante ver finalmente a OWASP destacando la seguridad del desarrollo de software y la integración CI/CD de procesos como otra área de enfoque a tener en cuenta" ha destacado Tom Eston, director de práctica de seguridad de aplicaciones en Bishop Fox.
OWASP Top 10: la lista completa
1. A01:2021-Broken Access Control: 34 CWEs. Access control vulnerabilities include privilege escalation, malicious URL modification, access control bypass, CORS misconfiguration, and tampering with primary keys.
2. A02:2021-Cryptographic Failures: 29 CWEs. This includes security failures when data is in transit or at rest, such as the implementation of weak cryptographic algorithms, poor or lax key generation, a failure to implement encryption or to verify certificates, and the transmission of data in cleartext.
3. A03:2021-Injection: 33 CWEs. Common injections impact SQL, NoSQL, OS command, and LDAP, and may be caused by sanitization failures, XSS vulnerabilities, and a lack of protection for file paths.
4. A04:2021-Insecure Design: 40 CWEs. Insecure design elements vary widely, but are generally described by OWASP as “missing or ineffective control design”. Areas of concern include a lack of protection for stored data, logic programming problems, and displaying content that reveals sensitive information.
5. A05:2021-Security Misconfiguration: 20 CWEs. Applications may be considered vulnerable if they lack security hardening, if there are unnecessary features – such as a too-open hand when it comes to privileges – if default accounts are kept active, and if security features are not configured correctly.
6. A06:2021-Vulnerable and Outdated Components: Three CWEs. This category focuses on client and server-side components, failures to maintain components, out-of-date support systems – such as an OS, web servers, or libraries – as well as component misconfiguration.
7. A07:2021-Identification and Authentication Failures: 22 CWEs. Security issues include improper authentication, session fixation, certificate mismatches, permitting weak credentials, and a lack of protection against brute-force attacks.
8. A08:2021-Software and Data Integrity Failures: 10 CWEs. Integrity is the focal point of this category, and any failure to do so properly – such as the deserialization of untrusted data, or not checking code and updates when pulled from a remote source – may be in scope.
9. A09:2021-Security Logging and Monitoring Failures: Four CWEs. Issues that can hamper the analysis of a data breach or other form of attack, including logging problems, failing to record security-relevant information feeds, or only logging data locally come under this category.
10. A10:2021-Server-Side Request Forgery: One CWE. SSRF vulnerabilities occur when a server does not validate user-submitted URLs when they fetch remote resources. OWASP says that the adoption of cloud services and increasingly complex architectures have ramped up the severity of SSRF attacks.
Colaboradores
Las siguientes organizaciones (junto a algunas entidades anónimas) amablemente donaron datos de más de 500,000 aplicaciones para recopilar el conjunto de datos de seguridad de aplicaciones web más grande y completo.
| AppSec Labs | GitLab | Micro Focus | Sqreen |
| Cobalt.io | HackerOne | PenTest-Tools | Veracode |
| Contrast Security | HCL Technologies | Probely | WhiteHat (NTT) |
