OWASP Top 10

OWASP Top 10^[1]​ es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la Fundación OWASP (en inglés, Open Web Application Security Project; en español "Proyecto Abierto de Seguridad de Aplicaciones Web")^[2]​. Esta lista se publica y actualiza cada tres o cuatro años por parte de la Fundación OWASP.

Comparación entre los riesgos en la seguridad de las aplicaciones web de los años 2017 y 2021.

El objetivo del proyecto OWASP Top 10 es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.^[2]​ Asimismo, estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,^[3]​ SANS, PCI DSS,^[4]​ DISA, FCT.

Historia

OWASP Top 10 fue lanzado por primera vez en 2003, con actualizaciones en 2004, 2007, 2010, 2013, 2017 y 2021. La versión 2010 fue renovada para dar prioridad al riesgo, no sólo a la prevalencia. La edición 2013 siguió el mismo enfoque^[2]​, mientras que en la edición del año 2021 se cambiaron algunos nombres de los riesgos para subrayar la causa principal del riesgo en vez del síntoma^[5]​.

Hay una versión inicial del 2003 pero no hay detalles en la página del proyecto más que la lista de los riesgos de seguridad de ese entonces.

Entregas o actualizaciones del OWASP Top 10

OWASP Top 10 2003	OWASP Top 10 2004	OWASP Top 10 2007	OWASP Top 10 2010	OWASP Top 10 2013	OWASP Top 10 2017	OWASP Top 10 2021
A1-Entrada no validada	A1-Entrada no validada	A1-Secuencia de comandos en sitios cruzados XSS	A1-Inyección	A1-Inyección	A1 - Inyección	A1 - Pérdida de control de acceso
A2-Control de acceso interrumpido	A2-Control de acceso interrumpido	A2-Fallas de inyección	A2-Secuencia de comandos en sitios cruzados XSS	A2-Pérdida de autenticación y gestión de sesiones	A2 - Pérdida de Autenticación	A2 - Fallas criptográficas
A3-Administración de cuentas y sesión interrumpida	A3-Administración de autenticación y sesión interrumpida	A3-Ejecución de ficheros malintencionados	A3-Pérdida de autenticación y gestión de sesiones	A3-Secuencia de comandos en sitios cruzados XSS	A3 - Exposición de datos sensibles	A3 - Inyección
A4-Fallas de cross site scripting XSS	A4-Fallas de cross site scripting XSS	A4-Referencia insegura y directa a objetos	A4-Referencia directa insegura a objetos	A4-Referencia directa insegura a objetos	A4 - Entidades Externas XML (XXE)	A4 - Diseño inseguro (nueva categoría)
A5-Desbordamiento de bufer	A5-Desbordamiento de bufer	A5-Falsificación de peticiones en sitios cruzados CSRF	A5-Falsificación de peticiones en sitios cruzados CSRF	A5-Configuración de seguridad incorrecta	A5 - Pérdida de Control de Acceso	A5 - Configuración de seguridad incorrecta
A6-Fallas de inyección de comandos	A6-Fallas de inyección	A6-Revelación de información y gestión incorrecta de errores	A6-Defectuosa configuración de seguridad	A6-Exposición de datos sensibles	A6 - Configuración de Seguridad Incorrecta	A6 - Componentes vulnerables y desactualizados
A7-Problemas de manejo de errores	A7-Manejo inadecuado de errores	A7-Pérdida de autenticación y gestión de sesiones	A7-Almacenamiento criptográfico inseguro	A7-Ausencia de control de acceso a las funciones	A7 - Secuencia de Comandos en Sitios Cruzados (XSS)	A7 - Fallas de identificación y autenticación
A8-Uso inseguro de criptografía	A8-Almacenamiento inseguro	A8-Almacenamiento criptográfico inseguro	A8-Falla de restricción de acceso a URL	A8-Falsificación de peticiones en sitios cruzados CSRF	A8 - Deserialización Insegura	A8 - Fallas en el software y en la integridad de los datos (nueva categoría)
A9-Fallas de administración remota(no aplicable)	A9-Negación de servicio	A9-Comunicaciones inseguras	A9-Protección insuficiente en la capa de transporte	A9-Uso de componentes con vulnerabilidades conocidas	A9 - Componentes con vulnerabilidades conocidas	A9 - Fallas en el registro y monitoreo
A10-Configuración indebida de servidor web y de aplicación	A10-Administración de configuración insegura	A10-Falla de restricción de acceso a URL	A10-Redirecciones y reenvíos no validados	A10-Redirecciones y reenvíos no validados	A10 - Registro y Monitoreo Insuficientes	A10 - Falsificación de solicitudes del lado del servidor (SSRF)

Referencias

1. «OWASP-TOP 10 Archives». Blog (en inglés británico). Consultado el 5 de julio de 2020. 
2. «OWASP top 10-2013 Los diez Riesgos más Críticos en Aplicaciones Web». OWASP: 22. 2014. Consultado el 10 de mayo de 2014. 
3. CWE/SANS Top 25. «2011 CWE/SANS Top 25 Most Dangerous Software Errors» (en inglés). Consultado el 20 de mayo de 2014. 
4. «Requisitos y procedimientos de evaluación de seguridad.». PCI Security Standards Council. Mayo de 2018. 
5. «Inicio - OWASP Top 10:2021». owasp.org. Consultado el 29 de junio de 2022. 

Enlaces externos

• https://owasp.org/ Página principal de la Fundación OWASP
• https://owasp.org/www-pdf-archive/ Repositorio de archivos PDF de OWASP
• https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf.pdf OWASP Top 10 - 2017 (en castellano).

• https://web.archive.org/web/20140527071240/https://www.owasp.org/index.php/Main_Page Página principal de la Fundación OWASP (Web Archive).
• https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf OWASP Top 10 - 2017.
• https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf OWASP Top 10-2013.
• https://www.owasp.org/images/2/2d/OWASP_Top_10_-_2010_FINAL_%28spanish%29.pdf OWASP Top 10-2010.
• https://www.owasp.org/images/a/ae/OWASP_Top_10_2007_Spanish.pdf OWASP Top 10-2007.
• https://www.owasptopten.org/ The OWASP Top Ten
• https://www.owasp.org/index.php/Top_10_2004 OWASP Top 10-2004.
• https://www.owasp.org/index.php/2004_Updates_OWASP_Top_Ten_Project OWASP Top 10-2004 y Owasp top 10-2003.
• https://cwe.mitre.org/top25/ CWE/SANS Top 25 Most Dangerous Software Errors.
• http://www.webappsec.org/ Web Application Security Consortium.