¿Qué es OWASP?
OWASP son las siglas de Open Web Application Security Project. Una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software en internet.
El Top 10 de OWASP es un documento estándar para desarrolladores de seguridad web que representa los riesgos de seguridad más comunes en internet.
10 principales tipos de infección para aplicaciones web según OWASP
A continuación te mostramos los 10 principales tipos de infección para aplicaciones web según OWASP:
1 – Inyección
Una vulnerabilidad de inyección permitirá que un atacante inyecte código malicioso en tu base de datos de WordPress.
Posteriormente, el código maliciosos del ciber delincuente se encargará de engañar a tu WordPress o servidor para que ejecute una serie de comandos sin autorización.
Este código malicioso podría hacer cualquier cosa, desde exportar una lista de usuarios hasta eliminar tablas en su base de datos.
COMO PREVENIRLO: Manteniendo los datos separados de los comandos y las consultas.
2 – Autenticación vulnerable
Una vulnerabilidad de autenticación podrá permitir que un ciber delincuente ponga en peligro las contraseñas, claves o tokens de sesión de un usuario para hacerse cargo de las cuentas del mismo.
COMO PREVENIRLO: Mediante la autenticación de dos factores.
3 – Exposición de datos sensibles
Las aplicaciones o APIs no protegidas correctamente pueden llegar a exponer datos confidenciales que pueden interesar a un pirata informático como los números de tarjetas de crédito, registros médicos u otra información personal privada.
Estos datos son principalmente vulnerables cuando están en tránsito.
COMO PREVENIRLO: Instalando un certificado SSL para ayudar a proteger y cifrar los datos en tránsito.
4. Entidades externas XML (XXE)
Muchos procesadores XML antiguos o mal configurados evalúan las referencias de entidades externas (Como un disco duro) dentro de documentos XML. Un hacker podría engañar a un analizador de XML para que transmita información confidencial a una entidad externa bajo su control.
COMO PREVENIRLO: Utilizando formatos de datos menos complejos como los archivos JSON.
5 – Control de acceso roto
Una vulnerabilidad de control de acceso roto permitirá al hacker realizar tareas que normalmente estarían restringidas a usuarios con privilegios más altos, como un administrador.
En WordPress, una vulnerabilidad de control de acceso podría permitir a un usuario con el rol de suscriptor realizar tareas de nivel de administrador como agregar /eliminar plugins y usuarios.
COMO PREVENIRLO: Restringiendo el acceso de administrador a una lista de dispositivos seguros.
6 – Configuración incorrecta de seguridad
Este es el problema más común de la lista. Este tipo de vulnerabilidad suele ser el resultado de configuraciones predeterminadas inseguras, mensajes de error demasiado descriptivos y encabezados HTTP mal configurados.
COMO PREVENIRLO: Eliminando funciones no utilizadas en el código, manteniendo todos los plugins y themes actualizados y haciendo que los mensajes de error sean más generales.
7 – Cross-Site Scripting (XSS)
El Cross-Site Scripting se produce cuando una página web permite a los usuarios agregar código personalizado en la ruta de la URL. Un atacante podrá aprovechar dicha vulnerabilidad para ejecutar código malicioso en el navegador web de la víctima y crear una redirección hacia un sitio web malicioso o secuestrar la sesión de un usuario.
COMO PREVENIRLO: Mediante plugins de seguridad que te permitan proteger a tu usuario contra el secuestro de sesiones al verificar que el dispositivo de un usuario no cambia durante una sesión.
8 – Deserialización insegura
La serialización convierte el código de una página web a un formato que se puede restaurar más tarde (Como la configuración de un plugin a un archivo JSON).
La deserialización es el proceso contrario. Este proceso toma los datos estructurados en algún formato y los reconstruye nuevamente en un objeto. Por ejemplo, tomar la configuración de un plugin que almacenó en un archivo JSON e importarla a una nueva página web.
Los fallos de deserialización inseguras conducen por regla general a un exploit de ejecución remota de código para infectar y tomar el control de la página web.
COMO PREVENIRLO: La única forma de mitigar los ataques de deserialización inseguros es no aceptar la serialización de fuentes que no sean de confianza.
9 – Uso de componentes con vulnerabilidades conocidas
Es común que los desarrolladores de plugins y temas de WordPress utilicen librerías de terceros que puedan incluir agujeros de seguridad si no se actualizan correctamente.
COMO PREVENIRLO: Utilizando plugins o temas que utilicen poco código de terceros.
10 – Registro y supervisión insuficientes
Un registro y una supervisión insuficientes pueden provocar un retraso en la detección de una infracción de seguridad.
La mayoría de estudios sobre infracciones web muestran que el tiempo medio para detectar una infección es de más de 200 días. Esa cantidad de tiempo permitirá al pirata informático vulnerar otros sistemas, modificar, robar o destruir más datos.
CÓMO PREVENIRLO: Monitoreando todas las actividades realizadas en tu WordPress.
Conclusión sobre los tipos de infecciones más comunes según OWASP
La lista de OWASP 10 es un gran recurso para difundir conocimiento sobre cómo proteger las páginas web frente a las vulnerabilidades de seguridad más comunes.
Por desgracia, estas vulnerabilidades son muy frecuentes y por ello lo mejor es tomar medidas de seguridad básicas frente a ellas.
