¿Qué indicadores usó OWASP para terminar con el Top 10 de OWASP?

6

Un estudiante me preguntó cómo se clasifican los 10 principales de OWASP, según qué indicadores: ¿es la gravedad? facilidad de explotacion? ¿Facilidad de implementar sus contramedidas? ... Saber que cada una de estas vulnerabilidades es grave o no se basa en el mise usecase posible.

Además, estaría interesado en más Top 10 diferentes a los de OWASP y diferentes a las vulnerabilidades de la Web.

Por favor, agradecería las respuestas basadas en referencias.

    
pregunta Phoenician-Eagle 18.04.2011 - 09:11
fuente

3 respuestas

7

Según la página de los diez primeros de OWASP:

  • El Top Ten de OWASP representa un amplio consenso acerca de cuáles son las fallas de seguridad más críticas de las aplicaciones web. Los miembros del proyecto incluyen una variedad de expertos en seguridad de todo el mundo que han compartido su experiencia para producir esta lista.

La versión actualizada tiene en cuenta los comentarios de la industria y los miembros de OWASP para ser lo más relevante posible.

Si desea estadísticas para ayudarlo a evaluar un top ten relevante para usted, presenté a ISACA Escocia en octubre de 2010 sobre los siete temas principales que las pequeñas empresas podrían abordar .

Como fondo de mi charla, usé datos de estos tres informes:

Espero que te sea de alguna utilidad.

    
respondido por el Rory Alsop 18.04.2011 - 09:17
fuente
3

La última versión, OWASP T10 2010, tiene en cuenta los factores de riesgo, incluido el daño potencial. Consulte aquí para obtener más información .
F.e. XSS se considera más común que la inyección de SQL, pero el daño de SQLi es potencialmente mucho más grave, por lo que SQLi es el # 1 y XSS está relegado al # 2.

Las versiones anteriores de OWASP T10 no tuvieron eso en cuenta, no hubo implicación alguna, simplemente filtrando los datos de MITRE en busca de vulnerabilidades de aplicaciones web relevantes.

Además del Top 10 de OWASP (que es realmente un buen lugar para comenzar), debe consultar el SANS Top 25 "Errores de software más peligrosos" (no limitado a la web).
En realidad, esto es solo el top 25 de la lista de enumeración de debilidad común (CWE) de MITRE (que es básicamente una lista completa de todos los tipos de maldad encontrada en el código de los programadores ...

    
respondido por el AviD 20.04.2011 - 16:33
fuente
1

Echa un vistazo al episodio 82 del podcast de OWASP con Dave Wichers. Él aborda esta pregunta.

    
respondido por el getahobby 21.04.2011 - 11:18
fuente

Lea otras preguntas en las etiquetas