Mapa Mental – OWASP Top 10 Web Application Security Risks

Mapa mental- OWASP Top 10 Web Application Security Risks
Mapa mental- OWASP Top 10 Web Application Security Risks

Para ver el diagrama completo haga clic acá.

Este mapa mental de OWASP Top 10 Web Application Security Risks tiene el siguiente contenido:

  • A1. Injection:

    Las fallas de inyección, tales como: SQL, OS y LDAP ocurren cuando data no confiable es enviada a un interpretador como parte de un comando o query.  Los datos hostiles del atacante pueden engañar al interpretador para ejecutar comandos no deseados o acceder a datos si la autorización apropiada.

  • A2. Cross Site Scripting (Xss):

    Las Fallas XSS ocurren cuando una aplicación toma data no confiable y la envía a una browser sin la validación o el escape de caracteres adecuada. XSS le permite a los atacantes ejecutar scripts en el browser de la víctima con lo cual pueden robar una sesión, malograr sitios web o redirigir al usuario a sitios maliciosos.

  • A3. Broken Authentication and Session Management:

    Las funciones relacionadas con la autenticación y manejo de la sesión de una aplicación no son implementadas correctamente, lo cual perite al atacante comprometer: passwords, keys o tokens de sesión; o explotar otras fallas de implementación para asumir la identidad de otro usuario.

  • A4. Insecure Direct Object References

    Una referencia insegura ocurre cuando un desarrollador expone una referencia a un objeto interno por medio del querystring para acceder a archivos de texto, directorios o una cadena de conexión.

  • A5. Cross Site Request Forgery (CSRF):

    Un ataque CRFS fuerza a una víctima, que haya iniciado sesión en un browser, a enviar peticiones HTTP falsificadas, incluyendo en estas peticiones la información de cookie de sesión y cualquier otro tipo de información de autenticación de la víctima. Esto le permite al atacante forzar a las víctimas a generar peticiones legítimas en aplicaciones vulnerables.

  • A6. Security Misconfiguration:

    Una buena seguridad requiere tener una configuración segura definida y desplegada por la aplicación, componentes de terceros, servidores de aplicaciones, servidores web, servidores de base de datos y la infraestructura. Además, todo el software debe mantenerse actualizado, esto incluye: Sistema operativo, base de datos, service packs, librerías de terceros, etc.

  • A7. Insecure Cryptographic Storage:

    Muchas aplicaciones web no protegen adecuadamente sus datos sensibles, tales como tarjetas de crédito y credenciales de autenticación, con el adecuado mecanismo de cifrado.

  • A8. Failure to Restrict URL Access:

    Muchas aplicaciones web verifican los permisos de acceso a las URL en el momento que rendenrizan links, menús o botones. Sin embargo, las aplicaciones necesitan aplicar un mecanismo de control similar cada vez que estas páginas son accedidas, de otra forma los atacantes serán capaces de acceder a estas URL con solo conocerlas.

  • A10. Unvalidated Redirects and Forwards:

    Las aplicaciones web frecuentemente re direccionan a un usuario a otros sitios web y usa data no confiable para determinar la página de destino. Sin una validación adecuada los atacantes pueden redirigir a las víctimas  a sitios fraudulentos (pishing) o hacer redirecciones a páginas no autorizadas.

Por cada uno de estos riesgos se habla de:

  • Threat Agent: Conocido como el agente de amenaza o el amenazante.
  • Attack: Son las técnicas que los atacantes usan para explotar alguna vulnerabilidad que tenga una aplicación.
  • Security Weakness: Es una debilidad de la aplicación, la cual puede ser una falla de diseño o un problema de implementación.
  • Technical Impacts: Es el impacto que tiene un ataque exitoso en un sistema. Generalmente está relacionado con la confidencialidad, integridad, accesibilidad, etc.
  • Business Impacts:  Es el impacto que tiene un ataque exitoso en un negocio. Generalmente está relacionado con dinero, reputación, clientes, etc.
T10-2010-Diagrama de arquitectura
T10-2010-Diagrama de arquitectura. Fuente: www.owasp.org

Para ver el diagrama completo haga clic acá.

Referencias:
Metal Tip:

Este artículo lo escribí escuchando la canción Impaler de la banda Exodus de Usa, les comparto
el enlace.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s