OWASP Top 10[1] es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la Fundación OWASP (en inglés, Open Web Application Security Project; en español "Proyecto Abierto de Seguridad de Aplicaciones Web").[2] Esta lista se publica y actualiza cada tres o cuatro años por parte de la Fundación OWASP.
El objetivo del proyecto OWASP Top 10 es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.[2] Asimismo, estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,[3] SANS, PCI DSS,[4] DISA, FCT.
OWASP Top 10 fue lanzado por primera vez en 2003, con actualizaciones en 2004, 2007, 2010, 2013, 2017 y 2021. La versión 2010 fue renovada para dar prioridad al riesgo, no sólo a la prevalencia. La edición 2013 siguió el mismo enfoque,[2] mientras que en la edición del año 2021 se cambiaron algunos nombres de los riesgos para subrayar la causa principal del riesgo en vez del síntoma.[5]
Hay una versión inicial del 2003 pero no hay detalles en la página del proyecto más que la lista de los riesgos de seguridad de ese entonces.
OWASP Top 10 2003 | OWASP Top 10 2004 | OWASP Top 10 2007 | OWASP Top 10 2010 | OWASP Top 10 2013 | OWASP Top 10 2017 | OWASP Top 10 2021 |
---|---|---|---|---|---|---|
A1-Entrada no validada | A1-Entrada no validada | A1-Secuencia de comandos en sitios cruzados XSS | A1-Inyección | A1-Inyección | A1 - Inyección | A1 - Pérdida de control de acceso |
A2-Control de acceso interrumpido | A2-Control de acceso interrumpido | A2-Fallas de inyección | A2-Secuencia de comandos en sitios cruzados XSS | A2-Pérdida de autenticación y gestión de sesiones | A2 - Pérdida de Autenticación | A2 - Fallas criptográficas |
A3-Administración de cuentas y sesión interrumpida | A3-Administración de autenticación y sesión interrumpida | A3-Ejecución de ficheros malintencionados | A3-Pérdida de autenticación y gestión de sesiones | A3-Secuencia de comandos en sitios cruzados XSS | A3 - Exposición de datos sensibles | A3 - Inyección |
A4-Fallas de cross site scripting XSS | A4-Fallas de cross site scripting XSS | A4-Referencia insegura y directa a objetos | A4-Referencia directa insegura a objetos | A4-Referencia directa insegura a objetos | A4 - Entidades Externas XML (XXE) | A4 - Diseño inseguro (nueva categoría) |
A5-Desbordamiento de bufer | A5-Desbordamiento de bufer | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Falsificación de peticiones en sitios cruzados CSRF | A5-Configuración de seguridad incorrecta | A5 - Pérdida de Control de Acceso | A5 - Configuración de seguridad incorrecta |
A6-Fallas de inyección de comandos | A6-Fallas de inyección | A6-Revelación de información y gestión incorrecta de errores | A6-Defectuosa configuración de seguridad | A6-Exposición de datos sensibles | A6 - Configuración de Seguridad Incorrecta | A6 - Componentes vulnerables y desactualizados |
A7-Problemas de manejo de errores | A7-Manejo inadecuado de errores | A7-Pérdida de autenticación y gestión de sesiones | A7-Almacenamiento criptográfico inseguro | A7-Ausencia de control de acceso a las funciones | A7 - Secuencia de Comandos en Sitios Cruzados (XSS) | A7 - Fallas de identificación y autenticación |
A8-Uso inseguro de criptografía | A8-Almacenamiento inseguro | A8-Almacenamiento criptográfico inseguro | A8-Falla de restricción de acceso a URL | A8-Falsificación de peticiones en sitios cruzados CSRF | A8 - Deserialización Insegura | A8 - Fallas en el software y en la integridad de los datos (nueva categoría) |
A9-Fallas de administración remota(no aplicable) | A9-Negación de servicio | A9-Comunicaciones inseguras | A9-Protección insuficiente en la capa de transporte | A9-Uso de componentes con vulnerabilidades conocidas | A9 - Componentes con vulnerabilidades conocidas | A9 - Fallas en el registro y monitoreo |
A10-Configuración indebida de servidor web y de aplicación | A10-Administración de configuración insegura | A10-Falla de restricción de acceso a URL | A10-Redirecciones y reenvíos no validados | A10-Redirecciones y reenvíos no validados | A10 - Registro y Monitoreo Insuficientes | A10 - Falsificación de solicitudes del lado del servidor (SSRF) |
https://www.owasp.org/images/5/57/OWASP_Proactive_Controls_2.pdf