PROYECTO OWASP

Desarrollo Web
ING. Gustavo Menéndez

192169 - CRISTIAN EMANUEL MORALES MUÑOZ

[Dirección de correo electrónico]
 INDICE
Introducción .................................................................................................... 2
¿QUE ES PROYECTO OWASP? .......................................................................... 3
¿Cuál es su principal aporte?........................................................................... 3
¿Qué es el top ten de OWASP? ....................................................................... 3
TOP TEN OWASP ............................................................................................. 4
A01: 2021-Control de acceso roto ................................................................ 4
A02: 2021-Fallas criptográficas .................................................................... 4
A03: 2021-Inyección ..................................................................................... 4
A04: 2021-Diseño inseguro .......................................................................... 4
A05: 2021-Configuración errónea de seguridad ........................................... 5
A06: 2021-Componentes vulnerables y obsoletos ....................................... 5
A07: 2021-Fallas de identificación y autenticación ....................................... 5
A08: 2021-Fallas de integridad de software y datos ..................................... 5
A09: 2021-Fallas de registro y monitoreo de seguridad ............................... 6
A10: 2021-Falsificación de solicitudes del lado del servidor ......................... 6
Conclusión....................................................................................................... 7
 Introducción

Se les presenta una explicación de lo que es el proyecto OWASP,

con la idea de explicar y ayudar a entender de una forma correcta
la función que tiene en la web como los aportes también
comentando sobre el top OWASP
 ¿QUE ES PROYECTO OWASP?

Esta es una técnica de seguridad colaborativa de código abierto que se utiliza

como referencia para la auditoría de seguridad de las aplicaciones web. Esta
es una comunidad de desarrolladores de tecnología dedicada a mejorar el
software a través de herramientas y recursos.
El Proyecto de seguridad de aplicaciones web abiertas es una comunidad
abierta que tiene como objetivo permitir que las organizaciones creen,
adquieran y mantengan aplicaciones confiables. La Fundación OWASP es una
organización sin ánimo de lucro que garantiza el éxito a largo plazo de los
proyectos. Casi todos los involucrados con OWASP son voluntarios. En
acrónimo (Open Web Application Security Project), el Open Web Application
Security Project es un proyecto de código abierto dedicado a identificar y
abordar la causa raíz de la inseguridad del software.

¿Cuál es su principal aporte?

Su principal aporte por lo que estuve leyendo es se mantiene en contra de las
vulnerabilidades que existen y buscando nuevas en cualquier aplicación web ya
que tienen procesos de como contener o detener todas estas vulnerabilidades y
también les pide a sus desarrolladoras que tengan buenas prácticas en su código
para eliminar toda tipo de vulnerabilidad

¿Qué es el top ten de OWASP?

Este es el proyecto owasp más famoso y el más importante. Este documento
contiene las 10 vulnerabilidades más comunes y también incluye formas de
detenerlas y prevenirlas. Este top que verán se publico en 2021 y tiene
diferentes cambios a la versión del 2017.
 TOP TEN OWASP
A01: 2021-Control de acceso roto
En el anterior Top 10 de vulnerabilidades de aplicaciones web de 2017, este
riesgo ocupó el quinto lugar. Sin embargo, en los últimos estudios realizados
por OWASP, este riesgo se probó en 94% de las aplicaciones analizadas, con
una incidencia del 3,81%.

Esta categoría se relaciona con vulnerabilidades encontradas en

implementaciones de controles de autenticación y autorización. En otras
palabras, la función del control de acceso en las aplicaciones web es evitar
que los usuarios realicen acciones no autorizadas.

A02: 2021-Fallas criptográficas

Cambiar la ubicación al #2, anteriormente conocido como Exposición de
datos confidenciales, es la causa de todo el sistema en lugar de la causa raíz.
El nuevo enfoque aquí está en las fallas criptográficas que conducen a la
exposición de datos confidenciales o al compromiso del sistema.
A03: 2021-Inyección
Estuve investigando y era esta de las primeras del top 10 pero aún sigue
altamente vulnerable A través de vulnerabilidades de seguridad, los
atacantes pueden aprovechar la falta de filtrado o limpieza adecuada de los
datos de entrada para modificar el código de las funciones de la aplicación.
De esta forma, se ejecutan acciones o se devuelve información de forma
inesperada. Este tipo de vulnerabilidad suele tener un impacto significativo
en la seguridad de una aplicación web.
A04: 2021-Diseño inseguro
Estas vulnerabilidades son difíciles de solucionar una vez que se completa el
desarrollo. Tanto por la complejidad de la tarea como por los costes
adicionales que conlleva. En este sentido, OWASP destaca una distinción que
conviene señalar.
A05: 2021-Configuración errónea de seguridad
La arquitectura de una aplicación web se basa en una gran cantidad de
elementos, los cuales tienen muchas opciones de configuración diferentes.
Servidores, frameworks, sistemas de gestión de datos, CMS, plugins, APIs...
Todos estos elementos pueden formar parte de la arquitectura que potencia
la aplicación. Y dar lugar a agujeros de seguridad si tienen una configuración
incorrecta o si la configuración predeterminada no cumple con los estándares
de seguridad adecuados.
A06: 2021-Componentes vulnerables y obsoletos
Los componentes vulnerables se sabín que usaba componentes con
vulnerabilidades conocidas, ocupó el segundo lugar en el Top 10 según la
encuesta de la comunidad, pero también tiene suficientes datos para
ingresar al Top 10 a través del análisis de datos. Esta categoría saltó del
noveno lugar en la edición de 2017 y es un problema conocido por ser difícil
de probar y evaluar. Esta es la única categoría que no incluye ningún CVE
relacionado con CVE, por lo que la vulnerabilidad predeterminada y el peso
de impacto de 5.0 se tienen en cuenta en su puntuación.
A07: 2021-Fallas de identificación y autenticación
Esta fue conocida como la famosa pérdida de autenticidad, cayó del segundo
lugar y ahora incluye CWE, que está más relacionado con la falla de
validación. Esta categoría permanece firmemente en el Top 10, pero la
creciente disponibilidad de marcos estandarizados parece estar ayudando.
A08: 2021-Fallas de integridad de software y datos
Es una nueva categoría para la versión 2021 que se enfoca en hacer
suposiciones con respecto a las actualizaciones de software, los datos críticos
y la canalización de CI/CD sin verificaciones de integridad. Corresponde a uno
de los impactos más significativos bajo el sistema de calificación de
vulnerabilidades (CVE/CVSS, siglas de Common Vulnerability and
Exposures/Common Vulnerability Scoring System). Antes la (A8:2017: la
resolución a prueba de fallas) en esta versión se incluye en esta categoría de
riesgo principal.
A09: 2021-Fallas de registro y monitoreo de seguridad
Se decía que era Insuficiente Registro y Monitoreo y se agrega de la empresa
de la industria (# 3), subiendo desde el # 10 anteriormente. Esta categoría se
amplía para incluir más consejos de falas, es difícil de probar y no está bien
representada en los datos
Como indican Óscar Mallo y José Rabal, la trazabilidad de los eventos que
ocurren en la aplicación es esenciall. En primer lugar, para bloquear
amenazas. Y, en segundo, para investigar incidentes de seguridad que hayan
tenido lugar y, así, evitar que vuelvan a producirse y poder concretar qué
posibles activos se han visto comprometidos.
De ahí que esta categoría tenga por objetivo ayudar a los profesionales a
detectar, escalar y responder a violaciones activas. Los fallos en el registro, la
detección, la supervisión y la respuesta activa frente a los ataques se pueden
producir c
A10: 2021-Falsificación de solicitudes del lado del servidor

Estos tipos de vulnerabilidades ocurren cuando un atacante tiene la

capacidad de obligar a un servidor a establecer una conexión a objetivos que
no estaban previstos originalmente. De esta forma, el atacante se aprovecha
de la posición privilegiada del servidor en la infraestructura.
Agregado de la encuesta de la comunidad Top 10 (primer lugar). Los datos
muestran una prevalencia relativamente baja con una cobertura de prueba
superior a la media, así como calificaciones superiores a la media para la
explotación y el impacto. Esta categoría representa una situación en la que
los miembros de la comunidad de seguridad nos dicen que es importante,
aunque no esté visible en los datos en este momento.
 Conclusión
- Con esta información se trato de mostrar y explicar lo que trata el proyecto
OWASP y tomar en cuenta mucha precaución del top OWASP que va
cambiando año por año para los Desarrolladores
- Tener en cuenta que en cualquier momento se puede aparecer una
vulnerabilidad y por eso se busca que los desarrolladores tengan en cuenta
los pasos necesarios para tener un control sobre toda la información y
cualquier vulnerabilidad cercana