Tenía este post escondido por aquí y por fin vez la luz. Vía eslomas y a su vez vía elladodelmal, leo que The Open Web Application Security Project (OWASP) han sacado un documento bastante extenso donde detallan las 10 vulnerabilidades de seguridad más críticas en aplicaciones web. Son 35 páginas bastante completas que intentan, en sus propias palabras, «educar a desarrolladores, diseñadores, arquitectos y organizaciones sobre las consecuencias de las vulnerabilidades más comunes en aplicaciones web» y hacen un llamamiento sobre lo insuficiente que es securizar el código una única vez al principio.
El listado de vulnerabilidades según OWASP, ordenado por importancia, es este:
- Cross Site Scripting (XSS)
- Injecciones defectuosas (SQL, XML, LDAP, etc)
- Ejecución maliciosa de ficheros
- Referencia directa a objetos insegura
- Cross Site Request Forgery (CSRF)
- Pérdida de información y trato incorrecto de los errores
- Autentificación dañada y sesiones
- Almacenamiento criptográfico inseguro
- Comunicaciones inseguras
- Fallos en los accesos a URLs restringidas
Con estos nombres, es posible que nos despiste un poco, pero la mayoría se refieren a términos que más o menos son conocidos. Cada una de las vulnerabilidades está acompañada con una descripción completa, ejemplos y referencias.
Documento de obligada lectura para desarrolladores ya que seguro que ayudará y mucho a crear aplicaciones más robustas y perfeccionar los que ya tenemos.