Recientemente, OWASP introdujo dos nuevas series de categorías a partir de 2017, en abril: a OWASP Top 10 :
- Protección de ataque insuficiente
- API no protegidas
Entiendo, las API no protegidas tienen un riesgo inmediato que implica probar una gran superficie de ataque junto con la posibilidad de fugas de datos, sin embargo, no entiendo cómo Insufficient Attack Protection es una amenaza o un riesgo. para una categoría?
Mejorando mi enfoque, resumiría las citas de scamdemy :
La protección insuficiente contra ataques se refiere a la incapacidad de detectar, prevenir y responder a varios tipos de ataques contra la aplicación en su conjunto. Esto, debido a la gran cantidad de componentes de terceros no auditados que pueden contener vulnerabilidades críticas, requiere el uso de herramientas de seguridad genéricas como los sistemas de detección de intrusos (IDS) y los firewalls de aplicaciones web (WAF) que pueden identificar un ataque en curso como Inyección SQL. Se enfoca en las consecuencias en lugar de en las causas de las debilidades.
¿Esto implica que la configuración de WAF en conexión directa tenga una gran área de superficie de ataque sin la presencia de Firewalls? Si la ausencia de un componente es una necesidad de categorización inmediata en OWASP Top 10. ¿No está seguro, cómo otros no se ven afectados por el mismo?
por ejemplo Al no tener WAF, ciertos niveles de Inyección (s) serán evidentes dado que hay una falla en el código de la aplicación.
Supongo que este es un movimiento para que el equipo de auditoría de seguridad comercialice sus productos de Firewall manteniendo el Top 10 de OWASP como referencia. ¿O era realmente necesario técnicamente?