En su más reciente actualización, Open Web Application Security Project (OWASP) anunció la inclusión de tres nuevas categorías a su lista de los principales riesgos de seguridad que podrían poner en riesgo crítico toda clase de aplicaciones web. De este modo, el proyecto sin fines de lucro busca fortalecer las medidas de seguridad de los administradores web.
A continuación revisaremos los cambios implementados por OWASP, los cuales permitirán a los desarrolladores aplicar las protecciones más avanzadas para sus sistemas y proyectos.
Diseño inseguro
Este representa un movimiento audaz por parte de OWASP y sus miembros, que tradicionalmente se han centrado más en etapas anteriores del desarrollo de aplicaciones. OWASP sugiere que las mejoras considerables en seguridad requieren un mayor, enfoque en las fases de planeación y diseño, especialmente considerando que los errores de diseño no pueden ser abordados con actualizaciones de software.
Los investigadores consideran que las mejoras en el proceso de diseño impactarían positivamente en otras categorías del Top 10 OWASP, reduciendo considerablemente la aparición de problemas de seguridad específicos.
Fallas de integridad de software y datos
Esta categoría guarda una relación directa con el diseño inseguro e involucra cualquier problema relacionado con el uso de código e infraestructura incapaz de proteger adecuadamente la información y el software de operación. El uso de plugins, bibliotecas o módulos no verificados o inseguros (Log4j, por ejemplo), se consideran fallas de integridad de software y datos.
OWASP recomienda a los desarrolladores verificar que todo el software utilizado cuente con una firma de verificación, asegurándose así de que sean herramientas seguras que no crearán problemas a largo plazo.
Falsificación de solicitudes del lado del servidor (SSRF)
Si bien este no es un vector de ataque novedoso, los investigadores siguen considerando que estos son problemas críticos y preocupantes para los desarrolladores. La más reciente encuesta de OWASP ha revelado que este es el principal temor de seguridad para los desarrolladores de aplicaciones web modernas.
Para mitigar los ataques SSRF, OWASP recomienda minimizar el tipo, alcance y cantidad de solicitudes que puede realizar una aplicación, aunque este es solo un comienzo y se requieren medidas de seguridad adicionales a nivel de red, incluyendo:
- Uso de firewall para restringir las conexiones del host
- Uso de lista blanca de comunicaciones
- Autenticación entre hosts
- Registro de todos los flujos para monitoreo
Por otra parte, a nivel aplicación se pueden habilitar medidas como:
- Definir y hacer cumplir estrictos protocolos de comunicación de URL para todas las aplicaciones
- Desactivar la redirección HTTP para evitar la evasión de listas blancas
- Desinfección y validación de todos los datos de entrada del lado del cliente
Un informe más completo está disponible en las plataformas oficiales de OWASP.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.