OWASP Top 10

1. Rotura del control de acceso:

Las restricciones no se implementan adecuadamente para evitar que los usuarios accedan a las cuentas de otros usuarios, vean datos confidenciales, accedan a funcionalidades no autorizadas, modifiquen datos, etc.

2. Fallos criptográficos:

Fallas relacionadas con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.

3. Inyección:

La aplicación no valida, filtra ni depura los datos proporcionados por el usuario. Algunos ejemplos de inyecciones son la inyección SQL, la inyección de comandos, la inyección LDAP, etc.

4. Diseño inseguro:

Estos problemas ocurren cuando la aplicación no está diseñada teniendo en cuenta la seguridad.

5. Mala configuración de seguridad:

Falta de un refuerzo de seguridad adecuado en cualquier parte de la pila de aplicaciones, configuraciones predeterminadas inseguras, almacenamiento en la nube abierto, mensajes de error extensos que revelan demasiada información.

6. Componentes vulnerables y obsoletos:

Utilizar componentes (tanto del lado del cliente como del lado del servidor) que sean vulnerables, no tengan soporte o estén desactualizados.

7. Fallos de identificación:

Ataques relacionados con la autenticación que tienen como objetivo la identidad del usuario, la autenticación y la gestión de sesiones.

8. Fallas de integridad de software y datos:

Las fallas de integridad de software y datos se relacionan con código e infraestructura que no protegen contra violaciones de integridad. Un ejemplo de esto es cuando una aplicación depende de complementos, bibliotecas o módulos de fuentes, repositorios y redes de entrega de contenido (CDN) no confiables.

9. Fallas de registro y monitoreo de seguridad:

Esta categoría ayuda a detectar, escalar y responder a las infracciones activas. Sin registro ni monitoreo, no se pueden detectar las infracciones.

10. Falsificación de solicitud del lado del servidor:

Las fallas de SSRF ocurren cuando una aplicación web obtiene un recurso remoto sin validar la URL proporcionada por el usuario. Esto permite a un atacante obligar a la aplicación a enviar una solicitud manipulada a un destino inesperado, incluso estando protegida por un firewall, una VPN u otro tipo de lista de control de acceso a la red (ACL).