la seguridad de las aplicaciones afecta a todas las organizaciones en todas las industrias, pero nuestra investigación ha encontrado que los diferentes defectos de OWASP Top 10 son más frecuentes en diferentes industrias. Las organizaciones deberían utilizar esta información para centrar su atención en las cuestiones más apremiantes a las que se enfrenta su sector particular. Consulte nuestro Informe sobre el estado de la seguridad del Software para obtener más detalles.,
una guía para probar el Top 10 de OWASP
a medida que el software aumenta en importancia y los atacantes continúan apuntando a la capa de aplicación, las organizaciones necesitarán un nuevo enfoque de seguridad. Un programa de seguridad de aplicaciones que utilice una combinación de tecnologías y servicios para proteger todo el entorno de aplicaciones, y cada aplicación a lo largo de su ciclo de vida, se está convirtiendo en una necesidad., Esta mezcla debe incluir:
- Herramientas y procesos que permiten a los desarrolladores encontrar y corregir vulnerabilidades mientras codifican
- Análisis de composición de Software
- Análisis dinámico
- análisis estático
comience con nuestra Guía Definitiva Para comenzar con la seguridad de las aplicaciones.
OWASP Top 10 vulnerabilidades
aunque la plataforma Veracode detecta cientos de fallas de seguridad de software, proporcionamos un enfoque razor en encontrar los problemas que «vale la pena arreglar.,»El Top 10 de OWASP es una lista de fallas tan prevalentes y severas que ninguna aplicación web debe entregarse a los clientes sin alguna evidencia de que el software no contiene estos errores.
lo siguiente identifica cada uno de los 10 principales riesgos de seguridad de aplicaciones Web de OWASP y ofrece soluciones y prácticas recomendadas para prevenirlos o remediarlos.
inyección
Los defectos de inyección, como la inyección SQL, la inyección LDAP y la inyección CRLF, ocurren cuando un atacante envía datos no confiables a un intérprete que se ejecuta como un comando sin la autorización adecuada.,
* Las pruebas de seguridad de la aplicación pueden detectar fácilmente defectos de inyección. Los desarrolladores deben usar consultas parametrizadas al codificar para evitar errores de inyección.
autenticación y Administración de sesiones defectuosas
la autenticación de usuario y sesión configurada incorrectamente podría permitir a los atacantes comprometer contraseñas, claves o tokens de sesión, o tomar el control de las cuentas de los usuarios para asumir sus identidades.
* la autenticación multifactor, como Fido o aplicaciones dedicadas, reduce el riesgo de cuentas comprometidas.,
exposición de datos confidenciales
Las aplicaciones y API que no protegen adecuadamente datos confidenciales, como datos financieros, nombres de usuario y contraseñas, o información de salud, podrían permitir a los atacantes acceder a dicha información para cometer fraude o robar identidades.
* El cifrado de datos en reposo y en tránsito puede ayudarlo a cumplir con las regulaciones de protección de datos.
XML External Entity
Los procesadores XML mal configurados evalúan las referencias de entidades externas dentro de los documentos XML., Los atacantes pueden usar entidades externas para ataques, incluida la ejecución remota de código, y para divulgar archivos internos y recursos compartidos de archivos SMB.
* Static application security testing (SAST) puede detectar este problema inspeccionando las dependencias y la configuración.
control de acceso roto
las restricciones incorrectas configuradas o faltantes en los usuarios autenticados les permiten acceder a funciones o datos no autorizados, como acceder a las cuentas de otros usuarios, ver documentos confidenciales y modificar datos y derechos de acceso.,
* Las pruebas de penetración son esenciales para detectar controles de acceso no funcionales; otros métodos de prueba solo detectan donde faltan controles de acceso.
error de configuración de seguridad
este riesgo se refiere a la implementación incorrecta de controles destinados a mantener seguros los datos de la aplicación, como la configuración incorrecta de los encabezados de seguridad, los mensajes de error que contienen información confidencial (fuga de información) y no aplicar parches o actualizar sistemas, marcos y componentes.
* Dynamic application security testing (dast) puede detectar configuraciones erróneas, como API con fugas.,
Cross-Site Scripting
Las Fallas de Cross-site scripting (XSS) dan a los atacantes la capacidad de inyectar scripts del lado del cliente en la aplicación, por ejemplo, para redirigir a los usuarios a sitios web maliciosos.
* la capacitación para desarrolladores complementa las pruebas de seguridad para ayudar a los programadores a evitar el scripting entre sitios con las mejores prácticas de codificación, como la codificación de datos y la validación de entradas.,
deserialización insegura
Los defectos de deserialización insegura pueden permitir que un atacante ejecute código en la aplicación de forma remota, manipule o elimine objetos serializados (escritos en disco), realice ataques de inyección y eleve privilegios.
* Las herramientas de seguridad de aplicaciones pueden detectar fallas de deserialización, pero con frecuencia se necesitan pruebas de penetración para validar el problema.,
usar componentes con vulnerabilidades conocidas
Los desarrolladores con frecuencia no saben qué componentes de código abierto y de terceros están en sus aplicaciones, lo que dificulta la actualización de los componentes cuando se descubren nuevas vulnerabilidades. Los atacantes pueden explotar un componente inseguro para hacerse cargo del servidor o robar datos confidenciales.
* el análisis de composición de Software realizado al mismo tiempo que el análisis estático puede identificar versiones inseguras de componentes.
registro y monitoreo insuficientes
El tiempo para detectar una brecha se mide con frecuencia en semanas o meses., El registro insuficiente y la integración ineficaz con los sistemas de respuesta a incidentes de seguridad permiten a los atacantes pivotar hacia otros sistemas y mantener amenazas persistentes.
* piense como un atacante y use pruebas de lápiz para averiguar si tiene suficiente monitoreo; examine sus registros después de las pruebas de lápiz.
contáctenos para obtener más información o para ver una demostración de nuestra solución integral.