Apoyando la nueva actualización de 2017 del Top 10 de OWASP

OWASP Top 10 - Actualización de 2017

Hoy OWASP lanzó la última versión del OWASP Top 10 - 2017. Esta lista de seguridad de aplicaciones se ha convertido en uno de los estándares de seguridad más importantes disponibles, y me complace decir que las configuraciones de análisis estático para las herramientas de Parasoft que admiten la lista de 2017 ya están disponibles. disponible en el foro de Parasoft. Sabemos que este estándar es importante para usted y hemos trabajado arduamente para asegurarnos de que pueda comenzar de inmediato, ¡hoy, ahora!

Obtenga más información sobre la actualización de OWASP 2017 a continuación.

Resumen de OWASP Top 10

Desde hace muchos años, Proyecto de seguridad de aplicaciones web abiertas (OWASP) ha sido un gran recurso de información y capacitación sobre seguridad de aplicaciones. Cada pocos años, juntan los conocidos OWASP Top 10 lista que presenta importantes problemas de seguridad actuales que enfrentan los desarrolladores web. Con el tiempo, el estándar se ha convertido quizás en el punto de partida más común para las organizaciones que comienzan a proteger sus aplicaciones web.

Y por una buena razón, el OWASP Top 10 se basa en varios tipos diferentes de información, actualizada para reflejar los nuevos riesgos de seguridad. Una fuente principal es la información de las empresas de AppSec y una encuesta de la industria, que proporciona información sobre los problemas que actualmente afectan a las organizaciones en el mundo real. Algunos de los nuevos Top 10 Los elementos también provienen de los aportes de la comunidad, basados ​​en cuestiones importantes.

¿Qué ha cambiado?

Entonces, ¿qué hay de nuevo para 2017? Como dice el nuevo documento:

“Hemos refactorizado por completo el OWASP Top 10, hemos renovado la metodología, hemos utilizado un nuevo proceso de llamada de datos, hemos trabajado con la comunidad, reordenamos nuestros riesgos, reescrito cada riesgo desde cero y hemos agregado referencias a marcos y lenguajes que ahora se utilizan comúnmente ".

Nuevo:

• A4: 2017 - XL Entidades externas (XXE) - que permite a los atacantes explotar procesadores XML vulnerables
• A8: 2017 - Deserialización insegura - que permite la ejecución remota de código o la manipulación de objetos sensibles en las plataformas afectadas
• A10: 2017 - Registro y monitoreo insuficientes - cuya falta puede prevenir o retrasar significativamente la actividad maliciosa y la detección de infracciones, la respuesta a incidentes y el análisis forense digital

Fusionada:

A4: 2013 - Referencias de objetos directos inseguras y  A7: 2013 - Control de acceso de nivel de función faltante se fusionaron en el nuevo A5: 2017– Control de acceso roto.

Retirado:

A8: 2013 - Falsificación de solicitudes entre sitios (CSRF) - Como resultado, muchos marcos ahora protegen contra CSRF, y fue redondo en solo el 5% de las aplicaciones durante el análisis de datos.

A10: 2013: redireccionamientos y reenvíos no validados. - este estaba en aproximadamente el 8% de las aplicaciones, que era un poco menos que el nuevo elemento de la lista: XXE.

Observaciones generales

Como era de esperar, los datos contaminados siguen siendo un gran problema, como vemos en A1: 2017 - Inyección. Este es un problema contra el que la programación defensiva seria es muy efectiva, pero de alguna manera, seguimos tratando de trabajar en esto probándolo. Es hora de tomarnos en serio y eliminar este del próximo Top 10 en 2020. Hagamos todos nuestra parte !

A3: 2017 - Exposición de datos sensibles es un gran lugar para comenzar si el Reglamento general de protección de datos de la UE (GDPR) está en su radar. La cuenta regresiva actual en la página de inicio de GDPR muestra 185 días hasta que comience la aplicación, así que comience a arreglar su código hoy. Obviamente, esto también es útil en los EE. UU., Para cualquier requisito relacionado con la privacidad, como PCI-DSS y  la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, por sus siglas en inglés). Proteja los datos de sus usuarios con los controles de acceso y el cifrado adecuados. Las violaciones de datos son un evento común.

Un área que me encanta en particular sobre el último Top 10 de OWASP, es que cada Top 10 ahora viene con enlaces explícitos a elementos en el Enumeración de debilidades comunes (CWE), donde puede aprender más sobre cuál es el problema, por qué es importante y cómo eliminar la debilidad. También puede encontrar fácilmente problemas relacionados de esta manera para los elementos que son más importantes para usted. los Los 25 mejores de CWE es el siguiente paso perfecto una vez que tenga el OWASP Top 10 bloqueado.

Lo que debes hacer:

Primero, descargue el pdf para OWASP Top 10 - 2017 y léelo. Es rico en información sobre cuál es el problema y cómo empezar a eliminarlo de sus aplicaciones. Luego, agréguelo a su política de seguridad y asegúrese de que su equipo de desarrolladores y evaluadores esté capacitado en ello. Agregar configuraciones para herramientas de seguridad como análisis estático y pruebas de penetración ayudará a hacer cumplir este esfuerzo. En Parasoft, ya hemos puesto configuraciones para nuestras herramientas de análisis estático. en nuestros foros.

Recuerda el OWASP Top 10 es un punto de partida, no un destino. Enumera los problemas más importantes que es más probable que afecten a su aplicación web. Una vez que lo domine, debe seguir mejorando mediante el uso de estándares expandidos como CWE y Estándares de codificación segura SEI CERT. Esto lo ayudará a ampliar su base de seguridad y lo preparará para los desafíos de seguridad que se avecinan.

Por Arthur Hiken

Arthur ha estado involucrado en seguridad de software y automatización de pruebas en Parasoft durante más de 25 años, ayudando a investigar nuevos métodos y técnicas (incluidas 5 patentes) mientras ayuda a los clientes a mejorar sus prácticas de software.