Los redireccionamientos y reenvíos sin validar salen de este ranking de deficiencias de seguridad

La Open Web Application Security Project (OWASP) está perfilando una nueva edición de su Top 10 Vulnerabilities, un documento que recoge los riesgos de seguridad más importantes en aplicaciones web. Actualmente la propuesta está abierta a comentarios por parte del público, una fase que finalizará el próximo 30 de junio. Se espera que la versión definitiva vea la luz en julio o agosto de este año.

En comparación con el último OWASP Top 10 Vulnerabilities, publicado en 2013, dos nuevas deficiencias de seguridad se presentan como candidatas a colarse en este ranking: la protección insuficiente frente a ataques y las API´s sin el suficiente nivel de protección. En el lado contrario, la vulnerabilidad de redireccionamientos y reenvíos sin validar, que en 2013 ocupó el número 10 de la lista, parece que en esta ocasión va a quedar fuera.

Por otro lado, todo apunta a que el resto de deficiencias de seguridad que en 2013 entraron en el pódium también lo haránen esta ocación: Inyección, Gestión de Autenticación y Sesión Rota, Cross-Site Scripting (XSS), Fallo en el Control de Accesos (esta categoría engloba a las que en el ranking de 2013 aparecieron como Referencias a Objetos Directos Inseguros y Missing Function Level Access Control), Errores en la Configuración de Seguridad, Exposición de Datos Sensibles, Falsificación de Solicitudes entre Sitios y Uso de Componentes con Vulnerabilidades conocidas.

La siguiente imagen recoge la comparación entre las Top 10 Vulnerabilities de 2013 frente a las que, previsiblemente, recibirán este título en 2017:

Fuente: OWASP
OWASP Top 10 Vulnerabilities

El OWASP Top 10 Vulnerabilities tiene como objetivo concienciar de la importancia de los riesgos de seguridad en aplicaciones web y es todo un documento de referencia en el sector. Desde la OWASP señalan que desde el lanzamiento de este informe en 2013, han aparecido todo un compendio de herramientas gratuitas y comerciales para ayudar a combatir este problema y que el uso de componentes de código abierto ha continuado expandiéndose rápidamente en prácticamente todos los lenguajes de programación.