OWASP TOP 10

OWASP TOP 10

Celia Catalán

La seguretat en aplicacions web és una prioritat al món actual, on les amenaces cibernètiques estan en constant evolució. Per ajudar els desenvolupadors i professionals de seguretat, l'Open Web Application Security Project (OWASP) publica una llista coneguda com a OWASP Top 10, que destaca les vulnerabilitats més crítiques a les aplicacions web. Aquesta llista és essencial per comprendre els riscos i les mesures necessàries per mitigar aquestes amenaces.

Què és OWASP Top 10?

L'OWASP Top 10 és una classificació de les vulnerabilitats més greus que afecten les aplicacions web. El seu objectiu és proporcionar consciència i coneixement a la comunitat tecnològica sobre les falles de seguretat més comunes i perilloses. Actualitzada periòdicament, aquesta llista ofereix una guia pràctica per prevenir, detectar i corregir les vulnerabilitats més crítiques.

Les vulnerabilitats a l'OWASP Top 10 tenen el potencial de comprometre greument la seguretat d'una aplicació, exposant dades sensibles, permetent l'accés no autoritzat i causant grans pèrdues per a les organitzacions.

Hi ha diferents edicions de l'OWASP Top 10, classificades segons l'any de la seva creació o actualització. Això és degut al canvi en el panorama general de la seguretat web, ja que, segons les dades recopilades per la Fundació OWASP, la freqüència de determinats tipus de vulnerabilitats va augmentant i disminuint amb el pas del temps. Alhora, nous tipus de vulnerabilitats emergeixen, mentre que altres desapareixen, reben un nom diferent o s'agrupen:


En aquesta entrada de bloc hem decidit presentar la versió més recent de OWASP TOP 10 a octubre 2024, és a dir, la versió del 2021.

OWASP Top 10 2021


A l'edició de 2021, OWASP va actualitzar la seva llista amb les principals amenaces de seguretat que afecten les aplicacions web avui dia. A continuació, es destaquen les 10 categories de risc més rellevants:


A01:2021 - Pèrdua de control d'accés

Fa referència a errors en les restriccions d'accés a dades o funcionalitats. Això permet als atacants realitzar accions no autoritzades, com ara accedir a dades confidencials o fer funcions d'administració sense els permisos necessaris. Algunes de les vulnerabilitats relacionades:
  • Escalada de privilegis: Usuaris normals poden obtenir o fer accions que requereixen privilegis d'administrador.
  • Moviment lateral: Els usuaris poden accedir a dades daltres usuaris de la plataforma.
  • Manca de control d'accés a API: Les API no protegeixen correctament els recursos.

A02:2021 - Errors criptogràfics

Aquesta categoria cobreix els errors en la protecció de dades sensibles, com ara contrasenyes o informació personal. Si les dades no estan degudament xifrades, els atacants poden interceptar-los i llegir-los fàcilment. Algunes de les vulnerabilitats relacionades:
  • Encriptació feble o inexistent: ús d'algoritmes criptogràfics obsolets o manca d'encriptació de dades sensibles.
  • Gestió inadequada de claus: Emmagatzematge o transmissió insegura de claus criptogràfiques.
  • Exposició de dades sensibles: Contrasenyes, números de targeta o dades personals no xifrades.

A03:2021 - Injecció

Les vulnerabilitats d'injecció, com la injecció SQL, permeten que un atacant insereixi ordres malicioses a l'entrada de l'aplicació per alterar-ne el funcionament. Això pot permetre accés no autoritzat a bases de dades i altres recursos. Algunes de les vulnerabilitats relacionades:
  • Injecció SQL: Manipulació de consultes SQL per accedir o modificar dades d'una base de dades.
  • Injecció d'ordres: Execució d'ordres del sistema operatiu a través d'entrades insegures.
  • Injecció de codi: Inserció de codi maliciós a l'aplicació, per exemple, codi JavaScript.

A04:2021 - Disseny insegur

Passa quan no es consideren els principis de seguretat durant el procés de disseny de l'aplicació, cosa que resulta en errors estructurals difícils de solucionar una vegada implementada. Algunes de les vulnerabilitats relacionades:
  • Falta de validació d'entrada: No es comproven adequadament les dades introduïdes per l'usuari. Aquest tipus de vulnerabilitat pot derivar en altres vulnerabilitats com la injecció de comandes o injecció SQL.
  • Absència de controls de seguretat: Manca d'autenticació o xifratge en punts crítics.
  • Arquitectura deficient: Absència de separació de rols o ús de patrons de disseny insegurs.

A05:2021 - Mala configuració de la seguretat

La configuració incorrecta o per defecte de sistemes, servidors i aplicacions és un problema comú que deixa exposades les aplicacions a atacs. Aquest risc es pot evitar mitjançant una configuració adequada i revisions periòdiques. Algunes de les vulnerabilitats relacionades:
  • Credencials per defecte: Ús de contrasenyes o configuracions predeterminades en servidors o aplicacions.
  • Exposició de fitxers sensibles: Fitxers de configuració o bases de dades accessibles públicament.
  • Serveis no necessaris habilitats: Serveis no utilitzats que podrien ser explotats.

A06:2021 - Components vulnerables i desactualitzats

Moltes aplicacions depenen de biblioteques o frameworks de tercers. Si aquests components no s'actualitzen o contenen vulnerabilitats conegudes, els atacants els poden explotar per comprometre la seguretat de l'aplicació. Algunes de les vulnerabilitats relacionades:
  • Dependències amb vulnerabilitats conegudes: Ús de biblioteques o frameworks amb errors de seguretat coneguts.
  • Software desactualitzat: Manca d'actualitzacions de seguretat o pegats disponibles.
  • Plugins i mòduls insegurs: Ús d'extensions o mòduls de tercers que no s'han auditat correctament. (Plugins de WordPress desactualitzats, llibreries de JavaScript desactualitzades…)

A07:2021 - Errors d'identificació i autenticació

L'autenticació deficient permet als atacants eludir la verificació d'identitat dels usuaris, cosa que resulta en suplantació d'identitat o accessos no autoritzats. Algunes de les vulnerabilitats relacionades:
  • Autenticació insegura: Manca de mecanismes com autenticació multifactor (MFA).
  • Sessions no protegides: Tokens de sessió exposats o manca d'expiració de sessions.

A08:2021 - Errors en el programari i la integritat de la informació

Aquesta vulnerabilitat afecta quan no es verifica adequadament la integritat de les actualitzacions del programari o les dades emmagatzemades. Això permet als atacants alterar el codi font o les dades sense ser detectades. Algunes de les vulnerabilitats relacionades:
  • Actualitzacions no verificades: Actualització de programari sense comprovar-ne l'autenticitat.
  • Alteració de codi font: Injecció de codi maliciós en repositoris o pipelins de CI/CD.
  • Manipulació de fitxers crítics: Alteració de fitxers de configuració o bases de dades sense detecció.

A09:2021 - Fallada en el registre d'esdeveniments de seguretat i monitorització

Sense un registre adequat i una monitorització activa, és difícil detectar o reaccionar davant d'atacs en curs. Aquesta fallada limita la capacitat de resposta davant d'incidents de seguretat. Algunes de les vulnerabilitats relacionades:
  • Falta de registres d'esdeveniments: Manca de registres d'accés, errors o canvis al sistema.
  • Logs insuficients: Els registres no contenen prou informació per diagnosticar problemes.
  • No es detecten atacs en temps real: No hi ha sistemes d'alerta o monitorització activa davant d'incidents.

A10:2021 - Forçat de peticions del costat del servidor (SSRF)

L'atac SSRF passa quan una aplicació web és enganyada per realitzar sol·licituds a altres servidors, permetent als atacants accedir a recursos interns que normalment estarien protegits. Algunes de les vulnerabilitats relacionades:
  • Accés a recursos interns: L'atacant utilitza l'aplicació per accedir a servidors interns o bases de dades.
  • Evasió de tallafocs: L'atacant explota la vulnerabilitat per saltar les restriccions de seguretat de xarxa.
  • Consulta de serveis locals: L'atacant accedeix a serveis a la xarxa interna, com HTTP, FTP o SSH.

Durant els propers mesos anirem publicant entrades sobre cadascuna de les vulnerabilitats del TOP 10. Indagarem en tots els tipus de vulnerabilitats relacionades amb cadascun dels riscos, així com en els atacs per explotar aquestes vulnerabilitats.


Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.

Últims articles

Veure tot
  • La Ciberseguridad en los procesos de Autenticación: Riesgos y Soluciones

    La Ciberseguretat en els processos d'autenticac...

    Els sistemes d'autenticació, com ara els logins, són un objectiu constant de ciberatacs que busquen vulnerar la seguretat dels usuaris i accedir a informació sensible. Des de tècniques com a...

    La Ciberseguretat en els processos d'autenticac...

    Els sistemes d'autenticació, com ara els logins, són un objectiu constant de ciberatacs que busquen vulnerar la seguretat dels usuaris i accedir a informació sensible. Des de tècniques com a...

  • ¡Flu Project estrena nuevo aspecto!

    ¡Flu Project estrena nou aspecte!

    Aquest mes de desembre Flu Project farà 14 anys i hem volgut aprofitar aquesta fita per lluir un nou aspecte visual, més adaptat als nous temps i integrat amb el...

    ¡Flu Project estrena nou aspecte!

    Aquest mes de desembre Flu Project farà 14 anys i hem volgut aprofitar aquesta fita per lluir un nou aspecte visual, més adaptat als nous temps i integrat amb el...

  • A10:2021 – Server-Side Request Forgery (SSRF)

    A10:2021 – Falsificació de Sol·licituds del Llo...

    Descripció L'atac 'Server-Side Request Forgery' (SSRF) és un tipus d'atac en què un atacant abusa de la funcionalitat d'un servidor per fer sol·licituds HTTP a recursos interns o...

    A10:2021 – Falsificació de Sol·licituds del Llo...

    Descripció L'atac 'Server-Side Request Forgery' (SSRF) és un tipus d'atac en què un atacant abusa de la funcionalitat d'un servidor per fer sol·licituds HTTP a recursos interns o...

1 3
Veure tot