Informática & Derecho WikiBlog

3 minutos de lectura ( 557 palabras)

OWASP Top 10

OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la organización OWASP (en inglés Open Web Application Security Project, en español Proyecto Abierto de Seguridad de Aplicaciones Web).2​ Esta lista se publica y actualiza cada tres años por dicha organización.

El objetivo de este proyecto según la OWASP top 10(2013), es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.2​ Así mismo estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,3​ SANS, PCI DSS, DISA, FCT.

Historia

OWASP Top 10 fue lanzado por primera vez en 2003, con actualizaciones en 2004 y 2007. La versión 2010 fue renovada para dar prioridad al riesgo, no sólo a la prevalencia. La edición 2013 siguió el mismo enfoque.2

Los documentos del OWASP top 10 comenzaron a publicarse desde el 2004, haciendo un total de seis actualizaciones hasta la fecha: Owasp top 10-2003, Owasp top 10-2004, Owasp top 10-2007, Owasp top 10-2010, Owasp top 10-2013 y Owasp top 10-2017.4​ Hay una versión inicial del 2003 pero no hay detalles en la página del proyecto más que la lista de los riesgos de seguridad de ese entonces.

 

OWASP Top 10-2003 OWASP Top 10-2004 OWASP Top 10-2007 OWASP Top 10-2010 OWASP Top 10-2013 OWASP Top 10-2017
A1-Entrada no validada A1-Entrada no validada A1-Secuencia de comandos en sitios cruzados XSS A1-Inyección A1-Inyección A1 - Inyección
A2-Control de acceso interrumpido A2-Control de acceso interrumpido A2-Fallas de inyección A2-Secuencia de comandos en sitios cruzados XSS A2-Pérdida de autenticación y gestión de sesiones A2 - Pérdida de Autenticación
A3-Administración de cuentas y sesión interrumpida A3-Administración de autenticación y sesión interrumpida A3-Ejecución de ficheros malintencionados A3-Pérdida de autenticación y gestión de sesiones A3-Secuencia de comandos en sitios cruzados XSS A3 - Exposición de datos sensibles
A4-Fallas de cross site scripting XSS A4-Fallas de cross site scripting XSS A4-Referencia insegura y directa a objetos A4-Referencia directa insegura a objetos A4-Referencia directa insegura a objetos A4 - Entidades Externas XML (XXE)
A5-Desbordamiento de bufer A5-Desbordamiento de bufer A5-Falsificación de peticiones en sitios cruzados CSRF A5-Falsificación de peticiones en sitios cruzados CSRF A5-Configuración de seguridad incorrecta A5 - Pérdida de Control de Acceso
A6-Fallas de inyección de comandos A6-Fallas de inyección A6-Revelación de información y gestión incorrecta de errores A6-Defectuosa configuración de seguridad A6-Exposición de datos sensibles A6 - Configuración de Seguridad Incorrecta
A7-Problemas de manejo de errores A7-Manejo inadecuado de errores A7-Pérdida de autenticación y gestión de sesiones A7-Almacenamiento criptográfico inseguro A7-Ausencia de control de acceso a las funciones A7 - Secuencia de Comandos en Sitios Cruzados (XSS)
A8-Uso inseguro de criptografía A8-Almacenamiento inseguro A8-Almacenamiento criptográfico inseguro A8-Falla de restricción de acceso a URL A8-Falsificación de peticiones en sitios cruzados CSRF A8 - Deserialización Insegura
A9-Fallas de administración remota(no aplicable) A9-Negación de servicio A9-Comunicaciones inseguras A9-Protección insuficiente en la capa de transporte A9-Uso de componentes con vulnerabilidades conocidas A9 - Componentes con vulnerabilidades conocidas
A10-Configuración indebida de servidor web y de aplicación A10-Administración de configuración insegura A10-Falla de restricción de acceso a URL A10-Redirecciones y reenvíos no validados A10-Redirecciones y reenvíos no validados A10 - Registro y Monitoreo Insuficientes

Fuente: Wikipedia

 

 

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Las estafas online más comunes que sufren las empr...
Consejos del Info-Lab para evitar una estafa elect...
 

Aporte reciente al blog

10 Febrero 2024
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
16 Noviembre 2023
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...

Suscribirme al Blog:

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto: