sábado, 15 de junio de 2013

OWASP Top Ten 2013

A1 - Injection: Corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes.
A2 - Broken Authentication and Session Management (anteriormente 2010-A3): Corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación.
A3 - Cross-Site Scripting (XSS) (anteriormente 2010-A2): Ocurre cuando existe validación pobre de la información ingresada por el atacante.
A4 - Insecure Direct Object References: Puede derivar en un acceso no autorizado a información crítica debido a errores en el diseño o desarrollo.
A5 - Security Misconfiguration (anteriormente 2010-A6): Corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación.
A6 - Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage y 2010-A9 Insufficient Transport Layer Protection formaron 2013-A6): Se refiere a la protección incorrecta de datos críticos tales como, por ejemplo, números de tarjetas de crédito, contraseñas, entre otros.
A7 - Missing Function Level Access Control: Corresponde a la falta de controles desde el servidor, permitiendo a un posible atacante acceder a funciones a las que no debería.
A8 - Cross-Site Request Forgery (CSRF) (anteriormente 2010-A5): Permite a un atacante generar peticiones sobre una aplicación vulnerable a partir de la sesión de la víctima.
A9 - Using Known Vulnerable Components (anteriormente formaba parte de 2010-A6): Corresponde a la explotación de librerías, frameworks y otros componentes vulnerables por parte de un atacante con el fin de obtener acceso o combinar con otros ataques.
A10 - Unvalidated Redirects and Forwards: Los atacantes aprovechan el uso de redirecciones de sitios web a otros sitios utilizando información no confiable (untrusted) para redirigir a las víctimas a sitios de phishing o que contienen malware.

A continuación la lista Original publicada en el Sitio Oficial del Proyecto (Inglés):
(Click sobre la Imagen para Ampliar)

Sitio del Proyecto: OWASP Top 10 2013

No hay comentarios:

Publicar un comentario en la entrada