Traducido: https://owasp.org/www-project-top-ten/
https://www.owasp.org/images/d/d6/OWASP_Top_10_2017%EF%BC%88RC2%EF%BC%89%E4 % B8% AD% E6% 96 % 87% E7% 89% 88% EF% BC% 88% E5% 8F% 91% E5% B8% 83% E7% 89% 88% EF% BC% 89.pdf
1. inyección (inyección)
Las fallas de inyección, tales como SQL, NoSQL, OS, y la inyección LDAP, se producen cuando los datos no es de confianza se envía a un intérprete como parte de un comando o una consulta. datos hostiles del atacante puede engañar al intérprete para que ejecute comandos intencionado, o acceder a los datos sin la debida autorización.
2. El fracaso de la autenticación y gestión de sesiones (Broken autenticación)
Funciones de aplicación relacionadas con la autenticación y gestión de sesiones se implementan a menudo incorrectamente, permitiendo a los atacantes para comprometer las contraseñas, claves o testigos de sesión, o para explotar otros defectos de ejecución para asumir la identidad de otros usuarios en forma temporal o permanente.
3. La divulgación de información sensible (Sensitive Exposición de datos)
Muchas aplicaciones web y API no protegen adecuadamente los datos sensibles, tales como finanzas, salud, y PII. Los atacantes pueden robar o modificar dichos datos débilmente protegidas a fraude conducta tarjeta de crédito, robo de identidad, u otros delitos. Los datos sensibles pueden verse comprometidas sin protección adicional, como el cifrado en reposo o durante el transporte, y requiere precauciones especiales cuando se intercambian con el navegador.
4. entidad externa (Entidades XML externos (XXE))
Muchos más viejos o mal configurados los procesadores XML evalúan las referencias a entidades externas dentro de los documentos XML. Las entidades externas pueden ser utilizados para divulgar los archivos internos utilizando el archivo de controlador de URI, recursos compartidos de archivos, escaneo de puertos internos interna, la ejecución remota de código, y ataques de denegación de servicio.
5. Control de Acceso roto (Broken control de acceso)
Restricciones sobre lo que los usuarios autenticados se les permite hacer a menudo no se aplican correctamente. Los atacantes pueden explotar estas fallas para acceder a la funcionalidad y / o datos, como otros de acceso no autorizado a los usuarios cuentas, ver los archivos confidenciales, modificar otros datos de los usuarios, los derechos de acceso de cambio, etc.
6. error de configuración de seguridad (configuración incorrecta de Seguridad)
mala configuración de seguridad es el tema que más se ve. Esto es comúnmente el resultado de configuraciones predeterminadas inseguros, incompleta o ad hoc configuraciones, almacenamiento abierto nube, mal configurado cabeceras HTTP, y verbosa mensajes de error que contienen información sensible. No sólo deben todos los sistemas operativos, los marcos, las bibliotecas y las aplicaciones pueden configurar de forma segura, pero deben ser parcheado / actualizada en el momento oportuno.
7. XSS (Cross-Site Scripting XSS)
fallas de XSS ocurren cuando una aplicación incluye datos no confiables en una nueva página web sin necesidad de una validación adecuada o escapar, o actualiza una página web existente con los datos suministrados por el usuario utilizando una API de navegador que puede crear HTML o JavaScript. XSS permite a los atacantes ejecutar secuencias de comandos en el navegador de la víctima, que pueden secuestrar sesiones de usuario, sitios web desfigurar, o redirigir al usuario a sitios maliciosos.
8. deserialización inseguro (Insecure deserialización)
deserialización inseguros a menudo conduce a la ejecución remota de código. Incluso si fallas deserialización no dan lugar a la ejecución remota de código, pueden ser utilizados para realizar ataques, incluyendo ataques de repetición, los ataques de inyección, y los ataques de escalada de privilegios.
9. Uso de las vulnerabilidades conocidas que contienen componente (Utilización de componentes con vulnerabilidades conocidas)
Componentes, tales como bibliotecas, marcos y otros módulos de software, correr con los mismos privilegios que la aplicación. Si un componente vulnerable se explota, como un ataque puede facilitar la pérdida de datos importantes o toma de control del servidor. Aplicaciones y API que utilizan componentes con vulnerabilidades conocidas pueden debilitar las defensas de aplicación y permitir que varios ataques e impactos.
10. El registro y control insuficiente (Logging insuficiente de monitorización y)
tala insuficiente y seguimiento, junto con la falta o la integración ineficaz con respuesta a incidentes, permite a los atacantes otros sistemas de ataque, mantener la persistencia, pivote para más sistemas, y de manipulación, extracto de, o destruir los datos. La mayoría de los estudios muestran incumplimiento tiempo para detectar una violación es más de 200 días, normalmente detectados por las partes externas en lugar de los procesos internos o monitorización.
