Scribd
Cargar
29 vistas4 páginas

Informe OWASP

Cargado por

roekebw
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
29 vistas4 páginas

Informe OWASP

Cargado por

roekebw
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Informe OWAPS 2021

Estudiantes:
Kenneth Gabriel Flores López-T62411005
Ronald Josue Ponce Trejo-T62321065
Juan Roberto Antúnez-T62141041
Darwin Geovany Fernández-T62321092
Daniel Edgardo Santos Rogel-T62321097

Sede de estudio:
Sede Norte CEUTEC

Docente:
ROMMELL DUVAL LAITANO

Fecha de entrega:
12 de agosto del 2025
Informe OWASP Top 10:2021

Resumen Ejecutivo
OWASP Top 10:2021 es una guía global que identifica las 10 vulnerabilidades más críticas
en aplicaciones web. La edición 2021 se enfoca en causas raíz, diseño seguro y datos reales.
Las categorías incluyen fallas de control de acceso, criptografía, inyecciones, diseño
inseguro, configuración incorrecta, componentes vulnerables, autenticación débil,
integridad de software, monitoreo insuficiente y SSRF.

Explicaciones Técnicas Básicas


A01: Pérdida de Control de Acceso
Errores en la implementación de reglas de acceso que permiten a usuarios no autorizados
acceder a recursos restringidos.

A02: Fallas Criptográficas


Uso incorrecto de algoritmos criptográficos, claves débiles o falta de cifrado en datos
sensibles.

A03: Inyección
Inserción de código malicioso en consultas SQL, comandos del sistema o scripts, que
comprometen la seguridad.

A04: Diseño Inseguro


Falta de principios de diseño seguro desde el inicio del desarrollo, lo que permite
vulnerabilidades estructurales.

A05: Configuración de Seguridad Incorrecta


Configuraciones por defecto, errores en permisos o exposición innecesaria de servicios.

A06: Componentes Vulnerables y Desactualizados


Uso de bibliotecas o frameworks con vulnerabilidades conocidas sin actualizaciones.
A07: Fallas de Identificación y Autenticación
Errores en el manejo de credenciales, sesiones o tokens que permiten suplantación de
identidad.

A08: Fallas en la Integridad del Software y los Datos


Suposiciones incorrectas sobre fuentes de datos, actualizaciones o procesos CI/CD.

A09: Fallas en el Registro y Monitoreo


Ausencia de registros adecuados que dificultan la detección y análisis de incidentes.

A10: Falsificación de Solicitudes del Lado del Servidor (SSRF)


Manipulación de solicitudes internas por parte de atacantes para acceder a recursos
internos.

Comparación breve y clara OWASP Top 10 (2017) y OWASP Top 10


(2021)
- Cambios generales: 3 categorías nuevas, varios renombrados/recategorizados y cierta
consolidación de ítems (p.ej. XSS se consideró dentro de Injection).

- Nuevas categorías (2021): Insecure Design, Software and Data Integrity Failures,
Server‑Side Request Forgery (SSRF) — reflejan diseño inseguro, fallas en la integridad de la
cadena de suministro y peticiones servidor‑servidor.

- Renombramientos y scope:

1. Sensitive Data Exposure → Cryptographic Failures (enfoca en fallas criptográficas).

2. Insufficient Logging & Monitoring → Security Logging and Monitoring Failures.

3. Insecure Deserialization se amplió/trasladó a Software and Data Integrity Failures.

- Consolidaciones / reubicaciones:

1. XSS pasó a estar dentro de Injection.

2. Broken Authentication se reencuadra en Identification and Authentication Failures (más


amplio).

3. Using Components with Known Vulnerabilities evolucionó a Vulnerable and Outdated


Components / enfoque en SBOM y supply chain.

- Prioridad cambiada: Broken Access Control sube a A01 (más prevalente).


- Por qué importa: 2021 amplía el foco desde fallos de código puntuales hacia diseño,
dependencias y cadena de suministro, empujando a "shift‑left", mejores prácticas de diseño
y controles en CI/CD/Supply‑chain.

Prácticas Recomendadas en Proyectos


- Implementar control de acceso basado en roles y principios de mínimo privilegio.

- Utilizar cifrado fuerte para datos en tránsito y en reposo.

- Validar y sanitizar todas las entradas del usuario para prevenir inyecciones.

- Diseñar la arquitectura con principios de seguridad desde el inicio (shift-left).

- Revisar y ajustar configuraciones de seguridad en servidores y aplicaciones.

- Mantener actualizados todos los componentes y bibliotecas utilizadas.

- Usar autenticación multifactor y proteger sesiones de usuario.

- Verificar la integridad de software y datos mediante firmas digitales.

- Implementar sistemas de registro y monitoreo para detectar anomalías.

- Restringir el acceso a recursos internos y validar las solicitudes entrantes.

-Integrar seguridad en diseño (modelado de amenazas, revisión arquitectural).

- Adoptar SBOM y escaneo SCA en CI/CD.

- Implementar controles criptográficos fuertes y revisiones periódicas.

- Fortalecer control de acceso server‑side y testing automatizado (fuzzing, unit tests).

- Habilitar logging/monitoring y playbooks de respuesta.

- Añadir validaciones contra SSRF y proteger parsers (XML/JSON).

Conclusiones

- OWASP 2021 amplía el alcance: ya no sólo vulnerabilidades de código, sino diseño,


integridad y supply‑chain.

- Las organizaciones deben mover controles a etapas tempranas (diseño/CI) y gestionar


dependencias activamente.

- Actualizar políticas, pipelines y capacitación es clave para mitigar los nuevos riesgos.

También podría gustarte