¿Qué es OWASP y OWASP Top 10?
Publicado: 2020-08-07El Open Web Application Security Project (OWASP) es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software. El OWASP Top 10 es un documento de concientización estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web.
Los 10 principales riesgos de seguridad de las aplicaciones web de OWASP
1. Inyección
Una falla de inyección podría permitir que un atacante inyecte código malicioso en su base de datos de WordPress. El código del atacante puede engañar a WordPress o su servidor para que ejecuten comandos sin la debida autorización. El código malicioso podría hacer cualquier cosa, desde exportar una lista de usuarios del sitio web hasta eliminar tablas en su base de datos.
Prevención
Mantener los datos separados de los comandos y consultas puede ayudar a prevenir vulnerabilidades de inyección.
2. Autenticación rota
Una vulnerabilidad de autenticación rota puede permitir que un atacante ponga en peligro las contraseñas, claves o tokens de sesión de un usuario o usuario para hacerse cargo de las cuentas del usuario.
Prevención
Puede ayudar a proteger su sitio web de las vulnerabilidades de la autenticación rota mediante la autenticación de dos factores.
Puede ayudar a proteger su sitio web de las vulnerabilidades de la autenticación rota mediante la autenticación de dos factores.
3. Exposición de datos sensibles
Las aplicaciones y API que no protegen correctamente contra la exposición de datos confidenciales podrían permitir que un atacante obtenga acceso a números de tarjetas de crédito, registros médicos u otra información personal privada.
Los datos se pueden exponer cuando están en tránsito o cuando están en reposo.
- Un ejemplo de datos en tránsito es cuando se envía un número de tarjeta de crédito desde el navegador de su cliente a la pasarela de pago de su sitio web.
- Los datos que están en reposo significan que están almacenados y no se están utilizando. Un ejemplo de datos en reposo es la copia de seguridad de BackupBuddy almacenada en una ubicación externa. La copia de seguridad permanecerá en reposo hasta que se necesite.
Prevención
Puede instalar un certificado SSL para ayudar a proteger y cifrar los datos que están en tránsito y agregar cifrado a los datos en reposo para ayudar a prevenir la exposición.
4. Entidades externas XML (XXE)
Muchos procesadores XML más antiguos o mal configurados evalúan las referencias de entidades externas, como un disco duro, dentro de los documentos XML. Un atacante puede engañar a un analizador XML para que transmita información confidencial a una entidad externa bajo su control.
Prevención
La mejor forma de prevenir XXE es utilizar formatos de datos menos complejos como JSON y evitar la serialización de datos confidenciales.
5. Control de acceso roto
Una vulnerabilidad de Control de acceso roto permitiría a un atacante eludir la autorización y realizar tareas que normalmente estarían restringidas a usuarios con privilegios más altos, como un administrador.
En el contexto de WordPress, una vulnerabilidad de control de acceso roto podría permitir a un usuario con el rol de suscriptor realizar tareas de nivel de administrador, como agregar / eliminar complementos y usuarios.
Prevención
iThemes Security Pro puede ayudar a proteger su sitio web contra el control de acceso roto al restringir el acceso de administrador a una lista de dispositivos confiables.
Una vulnerabilidad de Control de acceso roto permitiría a un atacante eludir la autorización y realizar tareas que normalmente estarían restringidas a usuarios con privilegios más altos, como un administrador.
6. Configuración incorrecta de seguridad
La configuración incorrecta de seguridad es el problema más común de la lista. Este tipo de vulnerabilidad suele ser el resultado de configuraciones predeterminadas inseguras, mensajes de error demasiado descriptivos y encabezados HTTP mal configurados.
Prevención
Los problemas de configuración incorrecta de seguridad se pueden mitigar eliminando las funciones no utilizadas en el código, manteniendo todas las bibliotecas actualizadas y haciendo que los mensajes de error sean más generales.
7. Secuencias de comandos entre sitios (XSS)
Se produce una vulnerabilidad de secuencias de comandos entre sitios cuando una aplicación web permite a los usuarios agregar código personalizado en la ruta de la URL. Un atacante puede aprovechar la vulnerabilidad para ejecutar código malicioso en el navegador web de la víctima, crear una redirección a un sitio web malicioso o secuestrar la sesión de un usuario.
Prevención
La función de dispositivos de confianza de iThemes Security Pro puede ayudar a proteger contra el secuestro de sesiones al verificar que el dispositivo de un usuario no cambie durante una sesión.
La función de dispositivos de confianza de iThemes Security Pro puede ayudar a proteger contra el secuestro de sesiones al verificar que el dispositivo de un usuario no cambie durante una sesión.
8. Deserialización insegura
La serialización convierte los objetos del código de una aplicación a un formato que se puede restaurar más tarde, como exportar la configuración de iThemes Security Pro a un archivo JSON.
La deserialización es lo contrario de ese proceso, tomando datos estructurados en algún formato y reconstruyéndolos nuevamente en un objeto. Por ejemplo, tomar la configuración de iThemes Security Pro que almacenó en un archivo JSON e importarla a un nuevo sitio web.
Las fallas de deserialización inseguras pueden y a menudo conducirán a un exploit de ejecución remota de código, que puede resultar en ataques de inyección y escalada de privilegios.
Prevención
La única forma de mitigar los ataques de deserialización insegura es no aceptar la serialización de fuentes que no sean de confianza.
9. Uso de componentes con vulnerabilidades conocidas
Es omnipresente que los desarrolladores utilicen componentes como bibliotecas y marcos en sus aplicaciones. Esto incluye a los desarrolladores de temas y complementos de WordPress. Estas bibliotecas y marcos de terceros podrían introducir agujeros de seguridad si no se actualizan correctamente.
Prevención
Los desarrolladores pueden minimizar el riesgo de usar componentes con vulnerabilidades conocidas eliminando el código de terceros no utilizado y solo usando componentes de fuentes confiables.
10. Registro y supervisión insuficientes
Un registro y una supervisión insuficientes pueden provocar un retraso en la detección de una infracción de seguridad. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días. Esa cantidad de tiempo le permite a un atacante violar otros sistemas, modificar, robar o destruir más datos.
Prevención
Los registros de seguridad de WordPress de iThemes Security Pro monitorean una multitud de actividades maliciosas y utilizan la información recopilada para bloquear ataques y alertarle cuando algo sale mal.
La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días.
Agregue más protección con iThemes Security Pro Site Scan
En nuestras publicaciones bimensuales de Vulnerability Roundup, compartimos todas las vulnerabilidades de temas, complementos y núcleos de WordPress más recientes. Muchos de los complementos y temas que cubrimos en nuestros resúmenes tienen exploits que se encuentran en la lista de los 10 principales de OWASP.
El principal culpable de los sitios web pirateados son las vulnerabilidades para las que había un parche disponible pero no aplicado. Agregue iThemes Security Pro Site Scan a su cinturón de herramientas de seguridad de WordPress para proteger su sitio web de ser eliminado por un problema de seguridad conocido. IThemes Security Pro Site Scanner comprueba su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si hay alguno disponible.
Ya sea que su tema esté usando componentes con vulnerabilidades conocidas o esté usando un complemento que tenga una vulnerabilidad conocida de Cross-Site Scripting , iThemes Security Pro Site Scan lo tiene cubierto.
Ya sea que su tema esté usando componentes con vulnerabilidades conocidas o esté usando un complemento que tenga una vulnerabilidad conocida de Cross-Site Scripting , iThemes Security Pro Site Scan lo tiene cubierto.
Conclusión: OWASP Top 10
La lista OWASP Top 10 es un gran recurso para difundir el conocimiento sobre cómo proteger sus aplicaciones contra las vulnerabilidades de seguridad más comunes. Desafortunadamente, la razón por la que estas vulnerabilidades se encuentran en la lista de las 10 principales es que son frecuentes. El uso de un complemento de seguridad de WordPress como iThemes Security Pro puede ayudar a asegurar y proteger su sitio web de muchos de estos problemas de seguridad comunes.
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
