OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la organización OWASP (en inglés Open Web Application Security Project, en español Proyecto Abierto de Seguridad de Aplicaciones Web).2 Esta lista se publica y actualiza cada tres años por dicha organización.
El objetivo de este proyecto según la OWASP top 10(2013), es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.2 Así mismo estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,3 SANS, PCI DSS, DISA, FCT.
Historia
OWASP Top 10 fue lanzado por primera vez en 2003, con actualizaciones en 2004 y 2007. La versión 2010 fue renovada para dar prioridad al riesgo, no sólo a la prevalencia. La edición 2013 siguió el mismo enfoque.2
Los documentos del OWASP top 10 comenzaron a publicarse desde el 2004, haciendo un total de seis actualizaciones hasta la fecha: Owasp top 10-2003, Owasp top 10-2004, Owasp top 10-2007, Owasp top 10-2010, Owasp top 10-2013 y Owasp top 10-2017.4 Hay una versión inicial del 2003 pero no hay detalles en la página del proyecto más que la lista de los riesgos de seguridad de ese entonces.
| OWASP Top 10-2003 | OWASP Top 10-2004 | OWASP Top 10-2007 | OWASP Top 10-2010 | OWASP Top 10-2013 | OWASP Top 10-2017 |
|---|---|---|---|---|---|
| A1-Entrada no validada | A1-Entrada no validada | A1-Secuencia de comandos en sitios cruzados XSS | A1-Inyección | A1-Inyección | A1 - Inyección |
| A2-Control de acceso interrumpido | A2-Control de acceso interrumpido | A2-Fallas de inyección | A2-Secuencia de comandos en sitios cruzados XSS | A2-Pérdida de autenticación y gestión de sesiones | A2 - Pérdida de Autenticación |
| A3-Administración de cuentas y sesión interrumpida | A3-Administración de autenticación y sesión interrumpida | A3-Ejecución de ficheros malintencionados | A3-Pérdida de autenticación y gestión de sesiones | A3-Secuencia de comandos en sitios cruzados XSS | A3 - Exposición de datos sensibles |
| A4-Fallas de cross site scripting XSS | A4-Fallas de cross site scripting XSS | A4-Referencia insegura y directa a objetos | A4-Referencia directa insegura a objetos | A4-Referencia directa insegura a objetos | A4 - Entidades Externas XML (XXE) |
| A5-Desbordamiento de bufer | A5-Desbordamiento de bufer | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Configuración de seguridad incorrecta | A5 - Pérdida de Control de Acceso |
| A6-Fallas de inyección de comandos | A6-Fallas de inyección | A6-Revelación de información y gestión incorrecta de errores | A6-Defectuosa configuración de seguridad | A6-Exposición de datos sensibles | A6 - Configuración de Seguridad Incorrecta |
| A7-Problemas de manejo de errores | A7-Manejo inadecuado de errores | A7-Pérdida de autenticación y gestión de sesiones | A7-Almacenamiento criptográfico inseguro | A7-Ausencia de control de acceso a las funciones | A7 - Secuencia de Comandos en Sitios Cruzados (XSS) |
| A8-Uso inseguro de criptografía | A8-Almacenamiento inseguro | A8-Almacenamiento criptográfico inseguro | A8-Falla de restricción de acceso a URL | A8-Falsificación de peticiones en sitios cruzados CSRF | A8 - Deserialización Insegura |
| A9-Fallas de administración remota(no aplicable) | A9-Negación de servicio | A9-Comunicaciones inseguras | A9-Protección insuficiente en la capa de transporte | A9-Uso de componentes con vulnerabilidades conocidas | A9 - Componentes con vulnerabilidades conocidas |
| A10-Configuración indebida de servidor web y de aplicación | A10-Administración de configuración insegura | A10-Falla de restricción de acceso a URL | A10-Redirecciones y reenvíos no validados | A10-Redirecciones y reenvíos no validados | A10 - Registro y Monitoreo Insuficientes |
Fuente: Wikipedia