¿Alguna vez te has preguntado qué es OWASP?
OWASP, o el Proyecto Abierto de Seguridad de Aplicaciones Web, es una iniciativa de código abierto que busca mejorar la seguridad del software.
OWASP está comprometido con la lucha contra las amenazas de seguridad del software. Con una gran cantidad de expertos en desarrollo y diseño de software back end, OWASP trabaja para promover la creación de software seguro, es decir, aquel software que resiste los ataques y protege los datos de los usuarios.
Esta iniciativa de seguridad de software es respaldada y administrada por la Fundación OWASP, una organización sin fines de lucro que se esfuerza por mejorar la seguridad del software a nivel mundial. Pero OWASP es solo uno de los muchos proyectos que la Fundación OWASP mantiene. Otros proyectos notables incluyen el Proyecto Juice Shop, OWASP ModSecurity Core Rule Set y OWASP Dependency-Track, todos enfocados en diferentes aspectos de la seguridad del software.
La Fundación OWASP ofrece una gran cantidad de recursos gratuitos para usuarios y organizaciones interesados en mejorar su software. Desde publicaciones y artículos hasta software de pruebas y boletines, todo lo que necesitas para aprender sobre OWASP y la seguridad del software está a tu disposición.
Desde su creación en 2001, y tras comenzar a funcionar sin ánimo de lucro en 2004, la Fundación OWASP ha trabajado para construir una comunidad de software fuerte y ha forjado relaciones fructíferas con corporaciones líderes como Adobe y Grammarly.
Una de las contribuciones más significativas de la Fundación es el OWASP Top 10, una lista de los riesgos de seguridad más críticos en aplicaciones web. Este listado, actualizado aproximadamente cada 3 o 4 años, es una herramienta invaluable para desarrolladores y técnicos de seguridad de aplicaciones web, así como para empresas y organizaciones que buscan entender y mitigar estos riesgos.
La metodología detrás del Top 10 es meticulosa y sólida, basada en datos de empresas especializadas en seguridad de aplicaciones y en las respuestas a una encuesta realizada a la comunidad de expertos en seguridad y desarrollo de aplicaciones.
El Top 10 del 2021 revela que el riesgo más grande en las aplicaciones web es la pérdida de control de acceso, seguido por fallas criptográficas y la inyección SQL. La Fundación OWASP proporciona un análisis detallado de cada riesgo en el Top 10, incluyendo medidas de prevención y ejemplos de cómo manejarlo.
Además de la clasificación, el diseño y la traducción del documento del Top 10 han mejorado significativamente en la última edición. La comunidad en torno a OWASP sigue creciendo y trabajando duro para aumentar la visibilidad y difusión de todo el material que crea la Fundación OWASP.
OWASP es el acrónimo de Open Web Application Security Project (Proyecto Abierto de Seguridad de Aplicaciones Web). Es un proyecto sin ánimo de lucro que se encarga de analizar y combatir los elementos que causan inseguridad en el software. Su objetivo principal es mejorar la seguridad del software y para ello, proporciona una serie de recursos gratuitos y útiles para desarrolladores y organizaciones. Estos recursos incluyen documentación, guías, herramientas, y una comunidad muy activa.
Uno de los recursos más reconocidos que ofrece es su “Top 10”. El “OWASP Top 10” es una lista que se actualiza regularmente, detallando las diez principales vulnerabilidades de seguridad en aplicaciones web que se observan en el mundo real. La lista es ampliamente respetada y a menudo utilizada como un punto de partida para las prácticas de seguridad de las aplicaciones web. El objetivo de esta lista es proporcionar a los desarrolladores y organizaciones un entendimiento de las amenazas a las que se enfrentan y proporcionarles la orientación necesaria para prevenirlas.
El “OWASP Top 10” de 2021 incluye las siguientes categorías de riesgo:
- Control de acceso roto (Broken Access Control)
- Fallos criptográficos (Cryptographic Failures)
- Inyección (Injection)
- Diseño inseguro (Insecure Design)
- Configuración de seguridad incorrecta (Security Misconfiguration)
- Componentes vulnerables y desactualizados (Vulnerable and Outdated Components)
- Fallos de identificación y autenticación (Identification and Authentication Failures)
- Fallos de integridad del software y los datos (Software and Data Integrity Failures)
- Fallos en el registro y monitorización de seguridad (Security Logging and Monitoring Failures)
- Falsificación de solicitudes del lado del servidor (Server-Side Request Forgery – SSRF)1.
Los cambios en el “OWASP Top 10” entre las ediciones reflejan la evolución de las amenazas de seguridad en las aplicaciones web. Por ejemplo, en la edición 2021, se introdujeron tres nuevas categorías: Diseño inseguro, Fallos de integridad del software y los datos, y Falsificación de solicitudes del lado del servidor. Algunas de las otras categorías existentes también se renombraron o redefinieron para reflejar mejor las amenazas actuales.
Además del “Top 10”, proporciona una gran cantidad de otros recursos, incluyendo guías sobre prácticas seguras de codificación, herramientas para probar la seguridad de las aplicaciones, y foros donde los profesionales de la seguridad pueden compartir información y asesoramiento. También organizan eventos y conferencias de seguridad a nivel mundial.
Respecto a la segunda parte de tu pregunta, he buscado las actualizaciones más recientes del “OWASP Top 10“, pero no encontré ninguna información más reciente que la versión de 2021. Esto significa que la versión 2021 sigue siendo la más actual. Sin embargo, actualiza regularmente sus recursos, así que es posible que haya actualizaciones en el futuro1 y en Bidaidea te las contaremos.