OWASP Top 10, La importancia de conocer las vulnerabilidades de la seguridad en las organizaciones.

OWASP Top 10, La importancia de conocer las vulnerabilidades de la seguridad en las organizaciones. 5

Las empresas de todos los sectores: banca, finanzas, salud, energía, telecomunicaciones, logística y otras industrias, se enfrentan a un desafío: el software inseguro.

A medida que las aplicaciones se convierten en un activo crítico, complejo e interconectado para las organizaciones, se hace más difícil poder garantizar la seguridad de los datos y la información, y el ritmo exponencial de liberación de nuevos desarrollos, incrementa aun más el riesgo de no descubrir vulnerabilidades de forma rápida y precisa.

El estándar OWASP TOP 10, es un comienzo en el camino de la seguridad de aplicaciones, conocerlos puede llevarnos a entender la relevancia de incluirlo en nuestros procesos y metodologías de trabajo y darle relevancia a las pruebas de seguridad realizadas por un experto:

A1 – Inyección

Las fallas de inyección, como SQL, NoSQL, OS o LDAP ocurren cuando se envían datos no confiables a un intérprete, como parte de un comando o consulta. Los datos dañinos del atacante pueden engañar al intérprete para que ejecute comandos involuntarios o acceda a los datos sin la debida autorización.

A2 Pérdida de Autenticación

Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son implementadas incorrectamente, permitiendo a los atacantes comprometer usuarios y contraseñas, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios (temporal o permanentemente).

A3 Exposición de datos sensibles

Muchas aplicaciones web y APIs no protegen adecuadamente datos sensibles, tales como información financiera, de salud o Información Personalmente Identificable (PII). Los atacantes pueden robar o modificar estos datos protegidos inadecuadamente para llevar a cabo fraudes con tarjetas de crédito, robos de identidad u otros delitos. Los datos sensibles requieren métodos de protección adicionales, como el cifrado en almacenamiento y tránsito.

A4 Entidades Externas XML (XXE)

Muchos procesadores XML antiguos o mal configurados evalúan referencias a entidades externas en documentos XML. Las entidades externas pueden utilizarse para revelar archivos internos mediante la URI o archivos internos en servidores no actualizados, escanear puertos de la LAN, ejecutar código de forma remota y realizar ataques de denegación de servicio (DoS).

A5 Pérdida de Control de Acceso

 

Las restricciones sobre lo que los usuarios autenticados pueden hacer no se aplican correctamente. Los atacantes pueden explotar estos defectos para acceder, de forma no autorizada, a funcionalidades y/o datos, cuentas de otros usuarios, ver archivos sensibles, modificar datos, cambiar derechos de acceso y permisos, etc.

OWASP Top 10, La importancia de conocer las vulnerabilidades de la seguridad en las organizaciones. 6

A6 Configuración de Seguridad Incorrecta

La configuración de seguridad incorrecta es un problema muy común y se debe en parte a establecer la configuración de forma manual, ad hoc o por omisión (o directamente por la falta de configuración). Son ejemplos: S3 buckets abiertos, cabeceras HTTP mal configuradas, mensajes de error con contenido sensible, falta de parches y actualizaciones, frameworks, dependencias y componentes desactualizados, etc.

A7 Secuencia de Comandos en Sitios Cruzados (XSS)

Los XSS ocurren cuando una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada; o actualiza una página web existente con datos suministrados por el usuario utilizando una API que ejecuta JavaScript en el navegador. Permiten ejecutar comandos en el navegador de la víctima y el atacante puede secuestrar una sesión, modificar (defacement) los sitios web, o redireccionar al usuario hacia un sitio malicioso.

A8 Deserialización Insegura

Estos defectos ocurren cuando una aplicación recibe objetos serializados dañinos y estos objetos pueden ser manipulados o borrados por el atacante para realizar ataques de repetición, inyecciones o elevar sus privilegios de ejecución. En el peor de los casos, la deserialización insegura puede conducir a la ejecución remota de código en el servidor.

A9 Componentes con vulnerabilidades conocidas

Los componentes como bibliotecas, frameworks y otros módulos se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, el ataque puede provocar una pérdida de datos o tomar el control del servidor. Las aplicaciones y API que utilizan componentes con vulnerabilidades conocidas pueden debilitar las defensas de las aplicaciones y permitir diversos ataques e impactos.

A10 Registro y Monitoreo Insuficientes

El registro y monitoreo insuficiente, junto a la falta de respuesta ante incidentes permiten a los atacantes mantener el ataque en el tiempo, pivotear a otros sistemas y manipular, extraer o destruir datos. Los estudios muestran que el tiempo de detección de una brecha de seguridad es mayor a 200 días, siendo típicamente detectado por terceros en lugar de por procesos internos

La educación enfrenta una revolución digital HOY. Conoce 3 formas de acelerar esta transformación

Para estudiantes y docentes ha sido un reto, pasar de los salones de clase a tener sesiones de horas por Zoom, Teams y otras herramientas ha sido un reto enorme desde el punto de vista pedagógico, y ha hecho que las instituciones concentren sus esfuerzos en nuevos licenciamientos y soporte a los usuarios.

Pero, ¿qué ha pasado con los procesos transaccionales de las instituciones?

El Rendimiento, elemento clave en la experiencia de usuario de la banca para el 2020

Las pruebas de rendimiento evalúan cómo se desempeña el sitio web y/o servicios probando las funcionalidades y transacciones más críticas para el negocio, dando a conocer los elementos que están sobrecargando el sitio, el consumo de los diferentes recursos, la concurrencia de usuarios que soportará y los tiempos de respuesta de las transacciones u operaciones.