Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (El número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.
En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.
La edición del 2010 presenta las siguientes categorías:
Inyecciones
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.
Cross-site Scripting
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.
Gestión defectuosa de sesiones y autenticación
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.
Referencias directas a objetos inseguras
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
Cross-site Request Forgery
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.
Ausencia de, o mala, configuración de seguridad
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.
Almacenamiento con cifrado inseguro
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.
Falta de restricciones en accesos por URL
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.
Protección insuficiente de la capa de transporte
Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.
Datos de redirecciones y destinos no validados
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.
Descaga del informe
TENDENCIAS | 11-05-2010
Cruising GaliciaMUNDO | 13-03-2011
Los ciudadanos de Islandia han hecho dimitir al gobiernoESPAÑA | 05-03-2011
Las mejores frases de ZapateroSexo | 26-01-2011
Cómo hacer un masaje eróticoOCIO | 12-01-2011
Viajar por el mundo con alojamiento gratis