Professional Documents
Culture Documents
com/topic/owasp-2017-top-10-vs-2013-top-10/
APPLICATION SECURITY
Before we go into the detail of what has changed in OWASP Top 10 vulnerabilities of
2017, let us take a glance at the table below for a quick review.
The vulnerabilities A4 and A7 in the 2013 list have been merged in 2017 list as a single
vulnerability, A4 – Broken Access Control. The vulnerability A10 has been dropped in
the new list, whereas two new vulnerabilities have made it to the list of 2017.
New vulnerabilities
A4 – Broken access control
This vulnerability results when user access control is not properly authenticated. It
allows cyber-attackers to access other users’ accounts and data, view sensitive files,
modify access rights, etc.
This vulnerability, which now ranks fourth in the 2017 list, is actually a merger of two
vulnerabilities from the 2013 OWASP Top 10 list: insecure direct object references and
missing function level access control. Both these vulnerabilities arise as a result of
improper access control.
A7 – Insufficient attack protection
Many applications and APIs have insufficient ability to detect, avoid, and respond to
automated and manual attacks. Complete attack protection requires automatic
detection, logging, and response to attempts.
A10 – Unprotected APIs
Applications nowadays often come with APIs that may not always be protected, making
them vulnerable to attacks.
The vulnerability that ranked 10th in the 2013 list of vulnerabilities is not in the top 10
vulnerabilities of 2017. This means that unvalidated redirects and forwards are not as
common a vulnerability now as they were four years back.
Some thoughts on why the list has changed
The release of OWASP Top 10 is based upon the analysis of more than 2.3 million
vulnerabilities in 50,000 web applications. There are two major additions to this release,
i.e. insufficient attack protection and underprotected APIs. According to Jeff Williams,
OWASP Top 10 project creator and coauthor, insufficient attack protection has made it
to the list because of the large number of threats that applications nowadays face.
Keeping this in mind, all modern applications should be able to detect, prevent, and
respond to automated and manual attacks and block them.
The addition of the unprotected APIs category is a result of an explosion of API usage in
modern software. APIs use a variety of data formats and protocols, such as
REST/JSON, SOAP/XML, GWT, RPC, and others. These APIs are usually unprotected
and they hold many vulnerabilities and signify a “major blind spot” for organizational
security programs. OWASP is helping teams to refocus on this escalating problem.
“To me, T10-2017 reflects the move towards modern, high-speed software development
that we’ve seen explode across the industry since the last version of the T10 in 2013,”
said Williams. “While many of the vulnerabilities remain the same, the addition of APIs
and attack protection in this version is designed to focus organizations on the key
issues for modern software.”
---
Después de un largo intervalo de cuatro años, OWASP en abril de 2017 publicó
un borrador de su lista más reciente de las "10 principales vulnerabilidades de
seguridad de aplicaciones web". El OWASP Top 10 ha servido como punto de
referencia para el mundo de la seguridad de aplicaciones durante los últimos 14
años. Fue diseñado para permitir a los desarrolladores identificar y evitar errores
de codificación y para proporcionar algún estándar a los equipos de seguridad
para mitigar las vulnerabilidades en función de la prioridad. Las empresas a
menudo confían en él para desarrollar sus programas de seguridad de
aplicaciones y también se encuentra en la raíz de varios mecanismos de
puntuación de productos para las pruebas de vulnerabilidad.
Nuevas vulnerabilidades
A4 – Control de acceso roto
Esta vulnerabilidad se produce cuando el control de acceso de los usuarios no se
autentica correctamente. Permite a los ciberatacantes acceder a las cuentas y datos de
otros usuarios, visualizar archivos sensibles, modificar derechos de acceso, etc.
Esta vulnerabilidad, que ahora ocupa el cuarto lugar en la lista de 2017, es en realidad
una fusión de dos vulnerabilidades de la lista OWASP Top 10 de 2013: referencias
inseguras a objetos directos y falta de control de acceso a nivel de función. Ambas
vulnerabilidades surgen como resultado de un control de acceso inadecuado.
A7 – Protección contra ataques insuficiente
Muchas aplicaciones y API tienen una capacidad insuficiente para detectar, evitar y
responder a ataques automáticos y manuales. La protección completa contra ataques
requiere detección automática, registro y respuesta a los intentos.
A10 – API desprotegidas
Hoy en día, las aplicaciones a menudo vienen con API que no siempre están
protegidas, lo que las hace vulnerables a los ataques.
La vulnerabilidad que ocupó el puesto 10 en la lista de vulnerabilidades de 2013 no se
encuentra entre las 10 principales vulnerabilidades de 2017. Esto significa que los
redireccionamientos y reenvíos no validados no son una vulnerabilidad tan común
ahora como lo fueron hace cuatro años.
Aunque la razón para incluir esta vulnerabilidad en el Top 10 2013 fue para indicar la
importancia de por qué nunca debemos confiar ciegamente en la entrada de ningún
usuario, la verdad es que la mayoría de las veces, los redireccionamientos de URL
abiertos pueden identificarse y representan una amenaza mínima para las
organizaciones, a menos que implican una cantidad sustancial de ingeniería social. En
ese caso, un atacante tendría que desarrollar su propio sitio web de phishing para
recopilar información confidencial del usuario. Aun así, hay varios casos en los que una
redirección de URL abierta aparentemente inofensiva se ha combinado con otras
vulnerabilidades web para causar daños graves a los datos del usuario.
---