OWASP Top 10? ¿Qué hay de OWASP Top 1000?

5

Muchas personas conocen el "Top 10 de OWASP". Me pregunto si OWASP (o cualquier otra autoridad similar) ha ido más allá de los 10 ataques más comunes y ha hecho una lista más grande (por ejemplo, "OWASP Top 1,000", etc.)

Estoy cumpliendo con los requisitos para mi primera gran aplicación web y quiero asegurarme de estar lo más preparado posible. Me gustaría saber dónde puedo encontrar una lista más amplia de vulnerabilidades que necesito para defender mi red y mis aplicaciones.

Si no existe tal "lista maestra", ¿cómo me recomendaría la Sección de Informática que investigue y asegure mi aplicación web (además de contratar a uno de ustedes como consultor)? ¿Hay libros / artículos / blogs que deban leerse? Gracias de antemano!

    
pregunta zharvey 02.07.2012 - 14:20
fuente

3 respuestas

12

No hay un top 1000, porque en realidad no sería relevante para la mayoría de las personas. Los 10 principales de OWASP se eligen porque son aplicables en la mayoría de las aplicaciones web y es probable que se exploten si no los protege.

Más allá de eso, si está comenzando desde una posición de que ya tiene aplicaciones e infraestructura:

  • Comprenda sus activos: tenga una lista de todas sus aplicaciones, plataformas y versiones

Esto puede ser muy desafiante en una organización grande, pero sin él, ¿cómo sabrá de qué es vulnerable?

  • Haga una referencia cruzada de esta lista con la base de datos CVE para comprender los tipos y la cantidad de vulnerabilidades que se aplican a sus activos

La base de datos CVE va al nivel de versiones específicas de aplicaciones y plataformas para que pueda obtener una vista muy personalizada de las vulnerabilidades que debería conocer. También proporciona una calificación (de 1 a 10) y una descripción de cómo se puede explotar la vulnerabilidad (por ejemplo, local, remota, etc.)

  • Identifique a sus actores de amenazas

Esto podría ser activistas ambientales, terroristas, competidores, gobiernos extranjeros, estudiantes aburridos, pandillas del crimen organizado, etc.

  • Evalúe el impacto y la probabilidad en función de los pasos anteriores y priorice la remediación

Nunca puede protegerse contra todos los posibles ataques, por lo que este paso es esencial para ayudarlo a decidir dónde su presupuesto y tiempo limitados tendrán el mejor rendimiento. Si no puede expresar el valor de un proyecto de remediación a la junta directiva, puede que le resulte difícil obtener la aceptación y el presupuesto.

  • Implementar actividades de remediación

  • Enjuague y repita: la seguridad nunca termina

Una mejor posición es crear un marco de gobernanza de seguridad que ayude a definir y garantizar la seguridad en el ciclo de vida del desarrollo, por lo que esto le ayudará a construir una arquitectura y un plan de prueba para ayudar a reducir la probabilidad de que las vulnerabilidades ingresen al código en primer lugar pero esta es una discusión mucho más larga, y probablemente lo veremos utilizando consultores :-)

tl; dr : el Top 10 de OWASP le dará la mejor vista inicial de lo que necesita hacer para protegerse. Después de eso, revise la base de datos de CVE para detectar vulnerabilidades específicas para su código. Mejorar sus procedimientos / marco / SDLC lo protegerá mejor a largo plazo. Proactivo, en lugar de reactivo.

    
respondido por el Rory Alsop 02.07.2012 - 14:38
fuente
1

OWASP enumera muchos más ataques que solo los 10 principales. Consulte la categoría de ataque en OWASP Wiki.

    
respondido por el chao-mu 02.07.2012 - 17:36
fuente
0

Las 10 categorías principales de OWASP cubren casi todos los problemas para las aplicaciones web. Esta es la lista de los 10 problemas, sin embargo, si profundiza, conocerá la categorización detrás de esto.

Lea enlace

    
respondido por el ammy 01.04.2016 - 12:09
fuente

Lea otras preguntas en las etiquetas