Lista Top 10 de OWASP

Cada tres años, Open Web Application Security Project (OWASP) publica la lista OWASP Top 10 de vulnerabilidades, basada en datos del sector e investigaciones independientes exhaustivas. Estas listas contienen los fallos de seguridad más detectados y explotados.

Los desarrolladores y las organizaciones que crean o implementan aplicaciones web utilizan ampliamente las listas Top 10. Consulte estas listas para asegurarse de mitigar las categorías de vulnerabilidad más importantes en las fases de desarrollo o implementación.

OWASP es una organización mundial sin ánimo de lucro que se centra en mejorar la seguridad del software. La misión principal de OWASP es garantizar que la seguridad del software sea visible, y proporcionar información y herramientas para ayudar a mejorar la seguridad de aplicaciones a escala global.

Las listas Top 10 de OWASP se crean para varias categorías, aunque la lista Top 10 de OWASP más utilizada es la de Seguridad de Aplicaciones Web. La lista actual de las 10 principales vulnerabilidades en sitios web de 2017 incluye lo siguiente:

• A1. Inyección
• A2. Autenticación rota
• A3. Exposición de datos sensibles
• A4. Entidades Externas XML (XXE)
• A5. Control de acceso interrumpido
• A6. Configuración incorrecta de seguridad
• A7. Cross-Site Scripting (XSS)
• A8. Deserialización insegura
• A9. Uso de componentes con vulnerabilidades conocidas
• A10. Registro y supervisión insuficientes

Es importante comprender que el OWASP Top 10 no es una lista exhaustiva de todas las vulnerabilidades actuales. Solo se descubren las más comunes. Tenga cuidado al utilizar la lista de OWASP para planificar pruebas de desarrollo o de implementación.

El primer paso para evitar las 10 principales vulnerabilidades es comprender por completo estas vulnerabilidades y evitar las técnicas y herramientas de programación de sitios web que exponen a su organización a estas amenazas. Una buena práctica es utilizar marcos de programación con protección incorporada contra vulnerabilidades comunes.

Sin embargo, incluso con las prácticas de codificación más cuidadosas, pueden surgir vulnerabilidades debido a errores humanos, cambios en el código, software de terceros y amenazas en evolución. Por ello, es fundamental automatizar la protección de su sitio web con un firewall de aplicaciones web (WAF).

Barracuda ofrece un Gestor de Vulnerabilidades Gratuito, que comprobará automáticamente su sitio web en busca de cientos de vulnerabilidades conocidas, incluidas las del OWASP Top 10. Esta herramienta gratuita genera un informe que enumera los problemas detectados y las medidas correctivas necesarias para resolver cada uno. Este informe se puede subir a Barracuda Web Application Firewall, que creará políticas para corregir automáticamente la mayoría de los problemas.

Para mantener la protección contra las últimas amenazas, Barracuda Web Application Firewall ofrece protección continua de los sitios web. Utiliza potentes tecnologías de escaneo basadas en la nube para inspeccionar sus aplicaciones en línea, ya estén en producción o aún en desarrollo. Identifica y corrige automáticamente cualquier vulnerabilidad sin parches, incluidas las que figuran en el OWASP Top 10, pero también muchas otras, como los ataques de denegación de servicio (DoS) y las amenazas de día cero.

Barracuda Web Application Firewall se encarga de que sus aplicaciones en línea estén protegidas frente al uso como vectores de amenazas en su red. Y al automatizar una parte crítica de cada proceso de desarrollo de aplicaciones, acelera el ciclo general de DevOps, permitiendo implementar aplicaciones seguras sin esperar al proceso manual tradicional de auditoría de seguridad, que puede ser tanto largo como poco fiable.