¿Por qué OWASP Top 10 (aplicación web) no ha cambiado desde 2013 pero Mobile Top 10 es tan reciente como 2016?

9

La última edición de OWASP Top 10 para aplicaciones web fue en 2013 y para aplicaciones móviles, es 2016. ¿Por qué es así?
¿Podemos decir que el patrón en las vulnerabilidades de la aplicación web está resuelto? ¿Ocurrirá lo mismo con las aplicaciones basadas en dispositivos móviles?

    
pregunta one 13.07.2016 - 16:32
fuente

4 respuestas

10

El motivo de la demora es que ha habido pocos cambios en la Web T10. Como declarado por Dave Wichers, líder del proyecto Web T10, el 30 de junio de 2015 :

  

Históricamente, hemos producido un nuevo Top 10 de OWASP cada 3 años porque   Esto parece equilibrar el ritmo del cambio en el mercado de AppSec, todo   el trabajo que todos hacen para asignar su herramienta / proceso / otra cosa a cada uno   versión del Top 10 de OWASP, y el esfuerzo requerido para producirlo.   Hemos estado produciendo uno nuevo cada tres años desde 2004 (es decir,   2007/2010/2013), por lo que se espera una nueva versión para 2016. (Definitivamente no   sucediendo en 2015).

     

Sin embargo, hemos estado pensando en lo que podría cambiar en una versión de 2016   del Top 10 y realmente no creemos que cambiaría mucho, si en   Todos, lo cual es un poco triste en realidad. Sospecho que algunos de los 10 artículos principales podrían   subir o bajar en función de las estadísticas de prevalencia de vulnerabilidad que   tendríamos que reunirnos y procesar, pero tengo mis dudas de que cualquier nuevo   Los tipos de vulnerabilidad se dividirían en el Top 10.

     

Como tal, dado que no esperamos que la lista cambie realmente en ningún   De manera sustancial, el proyecto ha decidido aplazar la próxima actualización a un   Lanzamiento 2017.

Esta tabla de las Notas de la versión 2013 T10 demuestra el pequeño cambio: Los cambios se debieron en gran medida a repensar cómo categorizar los datos en bruto, no debido a cambios significativos en los datos.

Algunos han postulado que el nivel de esfuerzo para crear el T10 fue un factor para retrasarlo. Si bien es mucho trabajo, no creo que haya sido un factor importante. La Web T10 es el proyecto más reconocido de OWASP y siempre tiene muchos voluntarios (contribuí a los de 2007, 2010 y 2013).

Especullando sobre si ocurrirá lo mismo con las aplicaciones móviles, no creo que sea probable en un futuro próximo. La tecnología móvil aún está en su infancia y está sujeta a cambios rápidos.

    
respondido por el Neil Smithline 14.07.2016 - 19:37
fuente
3

Tenga en cuenta que el OWASP Top 10 se actualizó en 2017 .

Escribí al respecto en The Top 10 de OWASP : 2013 vs. 2017 .

tldr:

Se agregaron tres nuevos riesgos este año: Entidades externas XML (XXE), Deserialización insegura, Registro y monitoreo insuficientes.

Se eliminaron dos elementos de los 10 principales de este año: falsificaciones de solicitudes entre sitios (CSRF, por sus siglas en inglés) y redirecciones y reenvíos sin validar.

Dos riesgos del informe de 2013 (Referencias inseguras de objetos directos y control de acceso de nivel de función faltante) se fusionaron en un solo riesgo: control de acceso roto.

    
respondido por el mattes 20.12.2017 - 22:26
fuente
2

No lo actualizan todos los años y lo hacen voluntarios en su tiempo libre, por lo que las actualizaciones pueden ser lentas, ya que son muy completas y requieren mucho trabajo. Sin embargo, actualmente están trabajando para actualizarlo este año y están pidiendo a las personas que envíen datos.

  

El proyecto Top 10 de OWASP está lanzando su esfuerzo por actualizar el Top 10 nuevamente. La versión actual se lanzó en 2013, por lo que se espera que esta actualización sea la versión 2016 o más probable para 2017. En esta ocasión, estamos realizando una llamada de datos abierta para que cualquier organización con un amplio conjunto de estadísticas de vulnerabilidad de aplicaciones pueda contribuir con sus datos al proyecto. Para facilitar que el proyecto consuma los datos aportados, solicitamos que se proporcionen a través de un formulario de Google. FECHA LÍMITE: los datos deben enviarse antes del 20 de julio de 2016.

sitio TOP 10 de OWASP accedido el 13 de julio de 2016

La razón por la que el Mobile Top ten está actualizado es porque es una nueva adición en comparación con el proyecto TOP 10 de OWASP que se ha estado ejecutando desde 2003/2004 cuando la seguridad móvil realmente no era lo que es hoy.

    
respondido por el Lmnoppy 13.07.2016 - 16:47
fuente
2

¿Por qué no hay actualizaciones?

No estoy seguro, pero es probable que no haya necesidad o mucha discusión en la comunidad de OWASP para poder actualizar la lista de los 10 principales en la web a partir de 2013. Además, el mundo móvil está evolucionando rápidamente los últimos años, probablemente eso por qué se requieren diferentes vulnerabilidades y necesidades, por lo que la industria de la seguridad (móvil) tuvo que desarrollarse más rápido junto con los desarrollos de la industria móvil.

Historia de los 10 principales de OWASP

La primera lista de los 10 principales de OWASP (web) se publicó en 2003 y en 2004 siguió una nueva lista. Luego, en 2007 , 2010 y 2013 se publicaron nuevas listas.

En 2013, se creó el primer Mobile Top 10 y se convirtió en definitivo en 2014 . Por lo que sé, en 2015 solo se realizó un nuevo análisis de los diez principales dispositivos móviles, pero no dio como resultado una lista definitiva. Ahora, el Mobile Top 10 2016 al que te refieres, es actualmente un documento candidato .

Desarrollos

El Proyecto de seguridad de aplicaciones web abiertas (OWASP) está trabajando actualmente en un OWASP Top 10 2016 actualmente. Las sugerencias aún se pueden enviar hasta el 20 de julio de 2016. Fuente: owasp.org .

    
respondido por el Bob Ortiz 13.07.2016 - 16:48
fuente

Lea otras preguntas en las etiquetas