¿Cuáles son las vulnerabilidades de seguridad comunes en las aplicaciones web?
Entrada no válida
Entrada no válida
No verificar la validez de los datos antes de ingresarlos en un programa es un error de programación común. A medida que OWASP investiga las vulnerabilidades de las aplicaciones web, los problemas de entrada no validados se han convertido en una vulnerabilidad de seguridad común en la mayoría de las aplicaciones web.
Control de acceso roto
Control de acceso roto
La mayoría de las organizaciones están muy preocupadas por controlar las conexiones establecidas, pero permiten ciertas cadenas de entrada. Puede permitir que los ataques eludan los controles de una organización. .
Gestión de cuentas y subprocesos rotas
Autenticación y gestión de sesiones rotas
Tener un buen control de acceso no significa que todo esté bien, las organizaciones también deben proteger las contraseñas y las sesiones de los usuarios; tokens, listas de cuentas y cualquier otra cosa que pueda proporcionar a los atacantes la información que necesitan para atacar las redes corporativas.
Defecto de secuencias de comandos entre sitios
Defecto de secuencias de comandos entre sitios
Este es un ataque común que ocurre cuando un ataque está incrustado en una página web corporativa u otro recurso web accesible, y cuando el script se inicia cuando una computadora de escritorio desprotegida accede a esa página web o recurso, el ataque podría afectar a miles de empleados en toda la organización. Un ataque de este tipo podría afectar a los ordenadores finales de cientos o miles de empleados de una organización.
Desbordamiento de búfer
Desbordamiento de búfer
Este problema suele ocurrir en programas escritos en lenguajes de programación más antiguos como C.
Defectos de inyección
Defectos de inyección
Si no bloquea con éxito la entrada sintácticamente significativa, es posible obtener acceso no autorizado a la información de la base de datos. Las entradas en los formularios web deben ser simples y no deben contener código ejecutable.
Manejo incorrecto de errores
Manejo incorrecto de errores
Cuando ocurre un error, es normal enviar un mensaje de error al usuario, pero si el mensaje enviado contiene demasiado contenido, es posible que un atacante analice la estructura o configuración del entorno web.
Almacenamiento inseguro
Almacenamiento inseguro
Para las aplicaciones web, mantener seguras las contraseñas, los nombres de usuario y otra información relacionada con la autenticación es muy importante, y cifrar esta información es una forma eficaz de lograr este objetivo, pero algunas organizaciones utilizan soluciones de cifrado no probadas.
Ataque de denegación de servicio de aplicación
Denegación de servicio de aplicación
Similar a un ataque de denegación de servicio (DoS), un ataque DoS de aplicación utiliza una gran cantidad de usuarios no autorizados Secuestrar los recursos de una aplicación, haciendo así que la aplicación no esté disponible para los usuarios legítimos de la aplicación web.
Gestión de configuración insegura
Gestión de configuración insegura
Los procesos de gestión de configuración eficaces proporcionan una buena protección para las aplicaciones web y la arquitectura de red de la organización.
Estas diez vulnerabilidades no cubren todas las vulnerabilidades de las aplicaciones web empresariales actuales; son simplemente los problemas más comunes que encuentran los miembros de OWASP y en los que todas las organizaciones deberían centrarse al desarrollar y mejorar aplicaciones web.