Si te dedicas al Hacking web o pretendes hacerlo, sin duda tendrás que pasarte por la comunidad OWASP y, muy especialmente, aprender la guía OWASP Top 10.

Se trata de un proyecto que enseña la evolución de las tecnologías web en los últimos años, ya que viendo los cambios que se van introduciendo en cada versión, ves cómo algunas vulnerabilidades que antes se consideraban críticas y comunes, con el paso del tiempo dejan de ser tan frecuentes.

La guía refleja las vulnerabilidades que, según la opinión de múltiples comunidades y empresas del sector, son las más peligrosas en el mundo de las aplicaciones web.

Se trata de una lista que se genera tras un proceso de votación, donde se valoran factores tan importantes como la facilidad de detectar y explotar el defecto, su impacto y el riesgo.

Si bien es cierto que se suele hablar mucho de esta guía, he notado que en ocasiones algunas personas no tienen del todo claro algunas de las categorías descritas, por ese motivo en esta infografía, explicaré de una forma clara y concisa cada una.

Ahora mismo, la última guía publicada es del 2021, pero, toma nota: En septiembre del 2024 se publicará una nueva versión.

Las categorías son:

Se produce cuando la aplicación web no controla adecuadamente el acceso a funcionalidades o secciones de la aplicación web. Puede conducir a la elevación de privilegios o suplantación de la identidad de un usuario. Es un problema muy habitual en las aplicaciones web y se puede solucionar implementando controles RBAC (Role-Based Access Control) y probando que están correctamente implantados.

Antes era conocida como «Sensitive Data Exposure», pero se ha renombrado, ya que la exposición de datos sensibles es el resultado de malas prácticas, no el problema en sí. En esta categoría se expone el hecho de que la información sensible se debe cifrar para evitar fugas y problemas sobre la confidencialidad de la información.

Es la vulnerabilidad clásica que vemos desde los orígenes de la guía, sin embargo, en esta última versión, se ha fusionado con la categoría de «Cross-Site Scripting (XSS)». Ahora hace referencia a cualquier problema de inyección, tanto en el servidor como en el cliente

Esta categoría es nueva y trata de centrar la atención en el problema de seguridad real que sufren prácticamente todas las aplicaciones web: Diseño inseguro.
Tal como se describe en la guía, se recomienda aplicar esquemas de modelos de amenazas y el DevSecOps en los proyectos.

Hace referencia a configuraciones inseguras en lenguajes de programación, frameworks, librerías, servidores y cualquier componente que haga parte de la aplicación.

Refleja el hecho de que, en muchas ocasiones, las aplicaciones web desplegadas utilizan componentes con vulnerabilidades conocidas.

Hace referencia a todos los problemas que se pueden presentar en la autenticación de los usuarios. No solamente en los formularios de login, en esta categoría también se incluyen otras funcionalidades que de forma indirecta afectan al mecanismo de autenticación, como la forma en la que un usuario recupera su contraseña olvidada.

Se trata de una categoría nueva que describe los problemas de asumir datos críticos, actualizaciones de software y parámetros en procesos de CI/CD sin verificar la integridad.

Se relaciona con la falta de vigilancia y control sobre los eventos que se producen en la aplicación. La ausencia de herramientas de monitorización o no revisar continuamente los eventos generados, hace que tenga sentido esta categoría.

Gracias al auge de las arquitecturas basadas en microservicios y APIs Rest, es habitual que una aplicación reciba datos de otra para realizar algún tipo de procesamiento. El problema está en que si esos datos inicialmente provienen de una fuente no confiable y no se validan correctamente, puede afectar a la seguridad de ambas aplicaciones.

Algunas no son nuevas y vienen de versiones anteriores, mientras que otras se han renombrado para dar una connotación más clara del problema en cuestión.

Es una guía que, en mi opinión, es de obligado conocimiento por parte de cualquiera que se dedique al mundo de la ciberseguridad, es por ello que te recomiendo los cursos de Hacking web con ZAP y el pack que incluye, además, la formación de Hacking contra APIs Rest, todos ellos disponibles en la plataforma THW.

Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Además de los cursos y la comunidad THW, tenemos el Plan Starter en Ciberseguridad (PSC) con el que no solo aprenderás Hacking ético, además adquirirás las habilidades necesarias para trabajar en el sector de la ciberseguridad.
Ya sea que seas un trabajador en activo o busques una primera experiencia, en THW podemos ayudarte mediante el plan PSC. Tienes más información en este enlace

¡Un saludo y Happy Hack!
Adastra.