OWASP Top 10 Web Application Security Risks

A1. Injection
1. Threat Agent
  1. Cualquiera que pueda enviar data no confiable
  2. Incluye usuarios externos, usuarios internos y administradores
2. Attack Vectors
  1. Ataques simples basados en textos que explotan la sintaxis del intérprete de destino
  2. Casi cualquier fuente de datos puede sufrir este ataque
3. Security Weakness
  1. Ocurre cuando una aplicación envía data no confiable a un interpretador
  2. Ocurre con consultas SQL, LDAP, XPath, comandos de SO, etc.
4. Technical Impacts
  1. Pérdida o corrupción de datos
  2. Denegación de acceso
5. Business Impacts
  1. Toda la información puede ser robada, modificada o eliminada
  2. Daña la reputacion del negocio
A2. Cross Site Scripting (Xss)
1. Threat Agent
  1. Cualquiera que pueda enviar data no confiable
  2. Incluye usuarios externos, usuarios internos y administradores
2. Attack Vectors
  1. Ataques basados en scripts que explotan el intérprete del browser
  2. Casi cualquier fuente de datos puede sufrir este ataque
3. Security Weakness
  1. XSS es el riesgo de seguridad que más se presenta en aplicaciones web.
  2. Ocurre cuando se ingresan datos sin validar adecuadamente o haber escapado el contenido.
4. Technical Impacts
  1. Robo de sesiones
  2. Modificación del sitio web
  3. Inserción de contenido no adecuado
  4. Redirección de usuarios
5. Business Impacts
  1. Considere el valor de negocio del sistema afectado y todos los datos que procesa
  2. El impacto en el negocio de la exposición pública de la vulnerabilidad
A3. Broken Authentication and Session Management
1. Threat Agent
  1. Atacantes anónimos externos
  2. Usuarios con cuentas
2. Attack Vectors
  1. Atacantes usan fallas en la administración de sesión o autenticación para hacerse pasar por usuarios autenticados.
3. Security Weakness
  1. Desarrolladores construyen mecanismos de sesión y autenticación personalizados.
  2. Estos mecanismos a veces vienen con fallas en: administración de sesion y password, timeout, remember me, pregunta secreta, actualización de cuenta, etc.
4. Technical Impacts
  1. Tales fallas pueden permitir que algunas o todas las cuentas se han atacadas.
  2. Una vez hecho el atacante puede hacer cualquier cosa que la víctima puede hacer.
  3. Las cuentas privilegiadas son frecuentemente las más atacadas.
5. Business Impacts
  1. Considere el valor de negocio del sistema afectado y todos los datos que procesa
  2. El impacto en el negocio de la exposición pública de la vulnerabilidad
A4. Insecure Direct Object References
1. Threat Agent
  1. Analiza los tipos de usuario de tu sistema.
  2. ¿Alguno de ellos tiene acceso parcial a ciertos tipos de datos del sistema?
2. Attack Vectors
  1. Un usuario del sistema autenticado, simplemente cambia el valor de un parámetro por otro que hace referencia a un objeto que no está autorizado a ver.
3. Security Weakness
  1. En las aplicaciones se usa el nombre o el identificador de un objeto para generar hipervínculos.
  2. En las aplicaciones no siempre se verifica que un usuario autorizado pueda acceder a un objeto.
4. Technical Impacts
  1. Tales fallas pueden permitir que algunas o todas las cuentas se han atacadas.
  2. Tales fallas pueden comprometer toda la data que puede ser referenciada por el parámetro.
5. Business Impacts
  1. Considere el valor de negocio de los datos expuestos
  2. El impacto en el negocio de la exposición pública de la vulnerabilidad
A5. Cross Site Request Forgery (CSRF)
1. Threat Agent
  1. Cualquiera que pueda engañar a tus usuarios para enviar una petición a tu sitio web.
  2. Esto puede ocurrir en cualquier sitio web donde el usuario este autenticado.
2. Attack Vectors
  1. El atacante crea peticiones HTTP falsas y engaña a una víctima para que las envié vía tags de imágenes, XSS u otras técnicas.
  2. Si el usuario esta autenticado el ataque es exitoso.
3. Security Weakness
  1. Esta falla toma ventaja de sitios web que permiten a los atacantes predecir todos los detalles de una acción en particular.
  2. Desde que los navegadores envían credenciales automáticamente, un atacante puede crear una página web maliciosa que genere peticiones falsas que son reconocidas que viene de un usuario autenticado.
4. Technical Impacts
  1. Causa que una víctima cambie o ejecute alguna acción que está autorizado a hacer sin su conocimiento.
5. Business Impacts
  1. Considere el valor de negocio de los datos expuestos
  2. El impacto en el negocio de la exposición pública de la vulnerabilidad
A6. Security Misconfiguration
1. Threat Agent
  1. Usuarios externos anónimos.
  2. Usuario con cuentas propias.
  3. Usuario que quieren ocultar sus acciones.
2. Attack Vectors
  1. Atacantes pueden acceder a: cuentas por defecto, paginas sin usar, manejo de errores inadecuado (yellow screen of death), archivos o directorios sin proteger, con la finalidad de conocer información del sistema.
3. Security Weakness
  1. Ocurre en cualquier nivel de la aplicación: plataforma, servidor web, servidor de aplicación, framework y código personalizado.
  2. Desarrolladores y administradores de red necesitan trabajar juntos para asegurar que todo este configurado adecuadamente.
4. Technical Impacts
  1. Estas fallas le brindan al atacante acceso autorizado a algunos datos sensibles del sistema.
  2. A veces estas fallas comprometen a todo el sistema.
5. Business Impacts
  1. Toda la data puede ser robada o modificada con el tiempo.
  2. Los costos de recuperación pueden ser altos.
A7. Insecure Cryptographic Storage
1. Threat Agent
  1. Usuarios del sistema.
  2. ¿Les gustaría tener acceso a data protegida a la que no están autorizados acceder?
  3. ¿Qué hay de los administradores internos?
2. Attack Vectors
  1. Los atacantes normalmente no encuentran como descifrar.
  2. Ellos encuentran las llaves, obtienen copias de datos en texto plano o acceden a data vía canales que automáticamente descifran.
3. Security Weakness
  1. La falla más común es simplemente no encrestar la data que se merece cifrar.
  2. Cuando el cifrado es empleado es común usar generación de llaves débiles, almacenamiento inseguros o algoritmos débiles.
4. Technical Impacts
  1. Una falla compromete toda la data que ha sido cifrada.
  2. Esta información incluye data sensible como: credenciales o tarjetas de crédito.
5. Business Impacts
  1. Considere el valor de negocio de los datos perdidos
  2. Cosidera el daño a tu reputación
A8. Failure to Restrict URL Access
1. Threat Agent
  1. Cualquiera con acceso a la red puede enviar una petición a tu aplicación.
  2. ¿Usuarios anónimos pueden acceder a una página privada?
  3. ¿Usuarios del sistema pueden acceder a páginas no autorizadas?
2. Attack Vectors
  1. Un usuario no autorizado simplemente cambia la url a una página con privilegios.
  2. Usuarios anónimos pueden acceder a páginas privadas que no están protegidas.
3. Security Weakness
  1. Las páginas no se protegen adecuadamente de las peticiones.
  2. A veces la protección de URL es manejada vía configuración, pero no está bien configurada.
  3. A veces el desarrollador olvida incluir el código de validación en la página.
4. Technical Impacts
  1. Estas fallas pueden permitir que algunas o todas las cuentas puedan ser atacadas.
  2. El atacante puede puede hacer algo que la víctima puede hacer también.
5. Business Impacts
  1. Considere el valor de negocio de los datos expuestos
  2. Cosidera el daño a tu reputación
A9. Insufficient Transport Layer Protection
1. Threat Agent
  1. Alguien que pueda monitorear el tráfico de red de tus usuarios.
  2. Esto también aplica para conexiones back end (intranet)
2. Attack Vectors
  1. Monitorear el tráfico de red de un usuario puede ser difícil, pero a veces es fácil.
  2. La dificultad principal recae en monitorear el tráfico de red apropiado mientras que los usuarios acceden a un sitio vulnerable.
3. Security Weakness
  1. Las aplicaciones web a menudo no protegen su tráfico de red.
  2. Estas pueden usar SSLTLS durante la autenticación (login), pero solo ahí, exponiendo datos e identificadores de sesión para ser interceptados.
4. Technical Impacts
  1. Tales fallas exponen data de usuarios y conducir a un robo de cuenta.
  2. Si una cuenta administradora es comprometida el sitio entero puede ser comprometido.
  3. Una mala configuración de SSL también puede facilitar ataques de pishing y MITM.
5. Business Impacts
  1. Considere el valor de negocio de los datos expuestos en terminos de confidencialidad
  2. Cosidera el daño a tu reputación
A10. Unvalidated Redirects and Forwards
1. Threat Agent
  1. Cualquiera que pueda engañar a tus usuarios para enviar una petición a tu sitio web.
  2. Esto puede ocurrir en cualquier sitio web donde el usuario este autenticado.
2. Attack Vectors
  1. Los atacantes generan enlaces a sitios inválidos y engañan a las víctimas a hacer clic en ellas.
  2. Las víctimas caen en esto debido a que los enlaces se encuentran en sitio válidos.
3. Security Weakness
  1. Las aplicaciones a menudo redirigen usuarios a otras páginas.
  2. A veces la página de destino es especificada usando un parámetro sin validar permitiendo al atacante escoger la página de destino.
4. Technical Impacts
  1. Tales redirecciones pueden tratar de instalar un malware.
  2. También tratan de engañar a las víctimas para revelar su password u otra información sensible.
5. Business Impacts
  1. Considere el valor de negocio en retener la confianza de tus usuarios.
  2. Cosidera el daño a tu reputación