Ranking OWASP Top 10 – 2021

OWASP Top 10 es un documento de los 10 riesgos de seguridad más importantes en aplicaciones web según la organización OWASP (en inglés Open Web Application Security Project, en español Proyecto Abierto de Seguridad de Aplicaciones Web).​ Esta lista se publica y actualiza cada 4 años por dicha organización.

El objetivo de este proyecto según la OWASP top 10(2013), es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones. Así mismo estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,​ SANS, PCI DSS, DISA, FCT.

Creado a mediados de la década de 2000, el OWASP Top 10, la última actualización de la que disponíamos fechaba del 2017 y ahora se ha actualizado después de cuatro años y, después de más de una década, hay una nueva vulnerabilidad encabezando el ranking.

¿Qué ha cambiado en el Top 10 para 2021?

Hay tres categorías nuevas, cuatro categorías con cambios de nomenclatura y alcance, y cierta consolidación en el Top 10 para 2021.

Mapeo de la relación entre el Top 10 2017 y el nuevo Top 10 2021

  • A01: 2021-Broken Access Control sube desde la quinta posición; El 94% de las aplicaciones se probaron para detectar algún tipo de control de acceso defectuoso. Los 34 CWE asignados a Broken Access Control tuvieron más apariciones en aplicaciones que cualquier otra categoría.
  • A02: 2021-Fallos criptográficos sube una posición al #2, anteriormente conocido como Exposición de datos confidenciales. Se ha enfocado de forma nueva el término, relacionándolo con los fallos relacionados con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.
  • A03: 2021-Inyección baja hasta la tercera posición. El 94% de las aplicaciones fueron probadas para alguna forma de inyección, y los 33 CWE mapeados en esta categoría tienen la segunda mayor cantidad de ocurrencias en aplicaciones. Cross-site Scripting ahora forma parte de esta categoría en esta edición.
  • A04: 2021-Diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con fallos de diseño. 
  • A05: Error de configuración de seguridad de 2021 avanza un puesto desde el puesto 6 en la edición anterior; El 90% de las aplicaciones se probaron para detectar algún tipo de configuración incorrecta. Con más cambios en software altamente configurable, no es sorprendente ver que esta categoría asciende. La categoría anterior de entidades externas XML (XXE) ahora forma parte de esta categoría.
  • A06: 2021-Componentes vulnerables y obsoletos se titulaba anteriormente Uso de componentes con vulnerabilidades conocidas y ocupa el puesto número 2 en la encuesta de la industria, pero también tenía datos suficientes para llegar al Top 10 a través del análisis de datos. Esta categoría avanza desde el puesto 9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo. Es la única categoría que no tiene ningún CVE asignado a los CWE incluidos, por lo que un exploit predeterminado y pesos de impacto de 5.0 se incluyen en sus puntajes.
  • A07: 2021-Fallos de identificación y autenticación anteriormente era una autenticación rota y baja desde la segunda posición, y ahora incluye CWE que están más relacionados con fallos de identificación. Esta categoría sigue siendo una parte integral del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
  • A08: 2021-Software and Data Integrity Failures es una nueva categoría para 2021, que se centra en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI / CD sin verificar la integridad. Uno de los impactos más ponderados de los datos de CVE / CVSS mapeados a los 10 CWE en esta categoría. La deserialización insegura de 2017 ahora es parte de esta categoría más grande.
  • A09: 2021-Fallos de seguimiento y registro de seguridad en el último ranking era Registro y monitoreo insuficientes y se agrega de la encuesta de la industria (n. ° 3), avanzando desde el n. ° 10 anterior. Esta categoría se amplía para incluir más tipos de fallas, es difícil de probar y no está bien representada en los datos CVE / CVSS. Sin embargo, las fallas en esta categoría pueden afectar directamente la visibilidad, las alertas de incidentes y los análisis forenses.
  • R10: La falsificación de solicitudes del lado del servidor 2021 se agrega de la encuesta de la industria (n. ° 1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas por encima del promedio, junto con calificaciones por encima del promedio para el potencial de Explotación e Impacto. Esta categoría representa el escenario en el que los profesionales de la industria nos dicen que esto es importante, aunque no está ilustrado en los datos en este momento.

Evolución del OWASP Top 10


Agregar un comentario