Future Internet, IoT and cloud computing

Blog del grupo de investigación GRITS. Redes de próxima generación para el Internet del futuro, Fog Computing e Internet de las cosas para implementar nuestros diseños personalizados en nubes híbridas ciberseguras, en sistemas de almacenamiento a gran escala y comunicaciones de larga distancia.

08 Mayo 2015 | Publicado por Editorial Team GRITS

OWASP Top 10

Actualmente en el Máster de CiberSeguridad (MCS) se está cursando el módulo en Seguridad Web.

owasp-topten2013

Para estudiar las vulnerabilidades que se pueden dar en una aplicación web, se coge como referencia el proyecto Top 10 de OWASP, que recoge los 10 riesgos más críticos que se pueden dar en las aplicaciones web.

La última versión de Top 10 data del 2013, que clasifica los riesgos de la siguiente forma:

  • Inyección: Las fallas de inyección ocurren cuando una aplicación envía información no confiable a un intérprete, con la finalidad de ejecutar comandos o acceder a datos no autorizados.

  • Pérdida de Autenticación y Gestión de Sesiones: Permiten al atacante comprometer contraseñas o sesiones, o explotar fallas en la implementación para asumir la identidad de otros usuarios.

  • Secuencia de Comandos en Sitios Cruzados (XSS): Las fallas XSS ocurren cuando se envía información sin validar y codificar correctamente, permitiendo a los atacantes ejecutar secuencias de comandos en el navegador de la víctima.

  • Referencia Directa Insegura a Objetos: Esta falla ocurre cuando se expone una referencia a un objeto de implementación interno, pudiendo manipular la referencia para acceder a datos no autorizados.

  • Configuración de Seguridad Incorrecta: Para mantener la seguridad de un sitio web se debe configurar todo de forma correcta y tener todo el software actualizado.

  • Exposición de datos sensibles: Las aplicaciones deben proteger todos los datos sensibles que se proporcionen. En caso contrario un atacante puede robar o modificar los datos para llevar a cabo fraudes o robos de identidad.

  • Ausencia de Control de Acceso a Funciones: Las aplicaciones deben controlar quien tiene autorización para realizar cada función, sino un atacante podría realizar peticiones sin autorización.

  • Falsificación de Peticiones en Sitios Cruzados (CSRF): Un ataque CSRF obliga al navegador de una víctima autenticada realizar peticiones HTTP falsas a una aplicación web vulnerable.

  • Utilización de componentes con vulnerabilidades conocidas: Los componentes internos normalmente tienen privilegios, por tanto si uno de ellos es vulnerable podría ser una posible vía para un ataque.

  • Redirecciones y reenvíos no válidos: Las aplicaciones web que no validen de forma apropiada las redirecciones, podría hacer que un atacante redirige a las víctimas hacia sitios de phishing o malware.

En este enlace se puede obtener más información sobre el Top 10 2013.

Share