Análisis detallado de vulnerabilidades según OWASP

Análisis de vulnerabilidades según OWASP

• La fundación OWASP analiza las vulnerabilidades más frecuentes, proporcionando información detallada sobre cada una de ellas, incluyendo las tecnologías implicadas, posibles casos de prueba y pautas para evitarlas o subsanarlas.
• La última versión de las vulnerabilidades es del 2017 y se incluyen 10 tipos de vulnerabilidades:
  • Inyección
  • Pérdida de autenticación
  • Exposición de datos sensibles
  • Entidades externas XML (XXE)
  • Pérdida de control de acceso
  • Configuración de seguridad incorrecta
  • Cross-Site Scripting (XSS)
  • Deserialización insegura
  • Uso de componentes con vulnerabilidades conocidas
  • Registro y monitoreo insuficientes

OWASP ASVS

• El proyecto OWASP ASVS (Application Security Verification Standard) proporciona una lista de requerimientos de seguridad que pueden ser utilizados por arquitectos, desarrolladores, testers, profesionales de seguridad y consumidores para determinar el grado de seguridad de una aplicación.
• OWASP ASVS ofrece una lista completa de requisitos, controles y pruebas de seguridad de aplicaciones para determinar el alcance, crear y verificar aplicaciones web y móviles seguras.
• La última versión, OWASP ASVS v4.0.2, se lanzó en octubre de 2020.
• Los objetivos principales de OWASP ASVS son:
  • Ayudar a las organizaciones en el desarrollo y mantenimiento de aplicaciones seguras
  • Permitir la alineación entre las necesidades y ofertas de los servicios de seguridad, proveedores de herramientas de seguridad y consumidores
• Los requisitos se desarrollaron con los siguientes objetivos en mente:
  • Usarlo como métrica para evaluar el grado de confianza en las aplicaciones web
  • Utilizarlo como guía para desarrollar controles de seguridad
  • Usarlo durante la adquisición para especificar los requisitos de verificación de seguridad de la aplicación en los contratos