Victor Catalán

OWASP Top 10 Vulnerabilidades 2017

November 26, 2017 | Victor Catalán | 1 Minute Read

Finalmente se ha publicado la versión definitiva de las 10 vulnerabilidades más criticas para OWASP del 2017.

Se ha publicado la lista definitiva de las TOP 10 vulnerabilidades más criticas que según OWASP se pueden encontrar en las aplicaciones Web. Esto es noticia, ya que, aunque han ido publicando actualizaciones constantemente, esta es una versión definitiva desde 2013. En el cual se pueden destacar como se han agrupado algunas vulnerabilidades y han aparecido unas nuevas. Esto no solo confirma, algo que ya se sabe, pero que los ataques evolucionan muy rápidamente, sino que las defensas tienen que intentar seguir el mismo ritmo y adaptarse constantemente al cambio.

La lista es la siguiente:

  • A1:2017-Injection
  • A2:2017-Broken Authentication
  • A3:2017-Sensitive Data Exposure
  • A4:2017-XML External Entities (XXE) [NEW]
  • A5:2017-Broken Access Control [Merged]
  • A6:2017-Security Misconfiguration
  • A7:2017-Cross-Site Scripting (XSS)
  • A8:2017-Insecure Deserialization [NEW, Community]
  • A9:2017-Using Components with Known Vulnerabilities
  • A10:2017-Insufficient Logging&Monitoring [NEW,Comm.]

Ademas del detalle de la lista, OWASP aporta mas detalle de cada una, asi como recomendaciones para poder mitigarlas. Todo ello está publicado en el siguiente github en distintos formatos (PDF y PPT), y debería ser de obliga lectura para todos los equipos de desarrollo (desde los desarrolladores, hasta jefes de equipo) para entender los riesgos y que se puedan tomar medidas para evitar posibles futuras lamentaciones.

Adicionalmente OWASP está trabajando mucho por la comunidad, desde hace mucho tiempo, pero no quería dejar pasar esta oportunidad para hacer referencia a todos los proyectos que se desarrollan en la actualidad, que se pueden encontrar en el siguiente enlace [PROYECTOS]. Y también todas las herramientas que se están construyendo en el siguiente enlace [HERRAMIENTAS].

Pero sobre todo hacer hincapié, en uno como es la guía de Testing de OWASP, que actualmente está en su versión 4.0, que también debería ser de obligada lectura.

Saludos