Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Jun 04, 2023
El Top 10 de seguridad de API de 2023 de OWASP refina la visión de los riesgos de API
Se ha publicado el ranking de OWASP para los principales riesgos de seguridad de API en 2023. El
Se ha publicado el ranking de OWASP para los principales riesgos de seguridad de API en 2023. La lista incluye muchos paralelos con la lista de 2019, algunas reorganizaciones/redefiniciones y algunos conceptos nuevos.
Por
Correo electrónico
Se ha publicado el ranking de OWASP para los principales riesgos de seguridad de API en 2023. La lista incluye muchos paralelos con la lista de 2019, algunas reorganizaciones/redefiniciones y algunos conceptos nuevos.
Aquí están los 10 principales riesgos de seguridad de API de OWASP de 2023 y una comparación con la versión de 2019:
Ni las amenazas ni los riesgos cambian drásticamente en unos pocos años; pero evolucionan, y nuestra comprensión de ellos evoluciona igualmente. Esto se demuestra con la lista de 2023, no tanto una lista nueva sino una refinación de la lista existente.
Las listas OWASP son un esfuerzo colaborativo. Si bien nadie duda de su valor, no todos, ni siquiera los involucrados, están de acuerdo con todos los detalles. Tomemos como ejemplo la eliminación de la exposición excesiva de datos de API3.
"¿Esto significa que resolvimos la exposición de datos confidenciales?" pregunta Jason Kent de Cequence Security. "No, la exposición de datos confidenciales es un gran problema. En la versión 2023 de API 3, estamos viendo un ejemplo de alguien que lleva la exposición de datos confidenciales al siguiente paso y supera la autorización de nivel de propiedad. No es un reemplazo directo porque muchos de los elementos de la lista dependen de la exposición de datos confidenciales. ¿Es esta la forma correcta de presentarlo? No lo creo, es un ejemplo de opiniones diferentes".
Al mismo tiempo, elogia el cambio de nombre en API6 por lo que es fundamentalmente el mismo riesgo. Los ejemplos enumerados siguen siendo básicamente los mismos: ambos son para una aplicación de viaje compartido y ambos explotan algo en el backend. "Hay algo sutil en el nombre que hace que el de 2023 parezca algo que debe corregirse, en lugar de ser nebuloso y confuso. También ilustra nuestros hallazgos sobre cómo la seguridad de la API que no funciona correctamente termina con la automatización de ataques". utilizado en su contra".
El principal problema de crear una lista de riesgos detallada y ordenada es la cadena de riesgos. Las infracciones a menudo parten de una API que la víctima ha olvidado (API9). Esto podría proporcionar datos de usuario confidenciales (API1) que incitan al atacante a crear un bot para explotar la falla en la medida de lo posible y lo más rápido posible (tocando API6).
"El nuevo API Top 10 puede no ser perfecto", concluye Kent, "pero nos muestra exactamente lo que sabemos desde hace varios años. El panorama de la seguridad de API está cambiando y las organizaciones deben cambiar con él. Ya sea sabiendo dónde están sus API, probándolas en busca de fallas o mitigando los bots que atacan sus flujos desconocidos, la seguridad de API debe ser un enfoque para todos, y esta nueva lista es un excelente lugar para comenzar".
Relacionado: OWASP Top 10 actualizado con tres nuevas categorías
Relacionado: Lanzamiento de la versión final de 2017 OWASP Top 10
Relacionado: OWASP propone nuevas vulnerabilidades para el Top 10 de 2017
Kevin Townsend es colaborador sénior en SecurityWeek. Ha estado escribiendo sobre temas de alta tecnología desde antes del nacimiento de Microsoft. Durante los últimos 15 años se ha especializado en seguridad de la información; y ha publicado muchos miles de artículos en docenas de revistas diferentes, desde The Times y Financial Times hasta revistas informáticas actuales y desaparecidas.
Suscríbase a la sesión informativa por correo electrónico de SecurityWeek para mantenerse informado sobre las últimas amenazas, tendencias y tecnología, junto con columnas perspicaces de expertos de la industria.
La Cumbre de Detección de Amenazas y Respuesta a Incidentes de SecurityWeek reúne a profesionales de la seguridad de todo el mundo para compartir historias de guerra sobre infracciones, ataques APT e inteligencia de amenazas.
El foro de CISO de Securityweek abordará los problemas y desafíos que son más importantes para los líderes de seguridad de hoy y cómo se ve el futuro como principales defensores de la empresa.
Mantener el rumbo y ceñirse a los objetivos estratégicos permite a los profesionales de la seguridad mejorar de manera constante y continua la postura de seguridad de su organización. (Joshua Goldfarb)
Si nos enfrentamos a un futuro de IA sin salida, la industria de la ciberseguridad seguirá dependiendo en gran medida de los enfoques tradicionales, especialmente los impulsados por humanos. Sin embargo, no será como de costumbre. (Oliver Rochford)
Cuando los equipos tienen una manera de romper los silos empresariales y ver y comprender lo que está sucediendo, pueden mejorar la protección en su entorno cada vez más disperso y diverso. (Matt Wilson)
Independientemente del caso de uso en el que se centre su organización de seguridad, probablemente perderá tiempo y recursos y tomará malas decisiones si no comienza por comprender su panorama de amenazas. (Marc Solomon)
Los marcos y las pautas estándar de la industria a menudo llevan a las organizaciones a creer que implementar más soluciones de seguridad dará como resultado una mayor protección contra las amenazas. (Torsten George)
Correo electrónico
Cycode, una startup que brinda soluciones para proteger el código fuente del software, salió del modo sigiloso el martes con $ 4.6 millones en fondos iniciales.
PayPal está alertando a unas 35 000 personas de que sus cuentas han sido objeto de una campaña de relleno de credenciales.
GitHub anunció esta semana la revocación de tres certificados utilizados para las aplicaciones GitHub Desktop y Atom.
Drupal lanzó actualizaciones que resuelven cuatro vulnerabilidades en el núcleo de Drupal y tres complementos.
Una vulnerabilidad CSRF en el servicio de administración de control de código fuente (SCM) Kudu podría explotarse para lograr la ejecución remota de código en varios servicios de Azure.
Si bien existen muchas rutas hacia la seguridad de las aplicaciones, los paquetes que permiten a los equipos de seguridad proteger las aplicaciones de manera rápida y fácil y afectar la postura de seguridad en...
Fortinet emitió el lunes un parche de emergencia para cubrir una vulnerabilidad grave en su producto FortiOS SSL-VPN, advirtiendo que los piratas informáticos ya han explotado...
Muchos desarrolladores y personal de seguridad admiten haber experimentado una infracción a través de credenciales de API comprometidas.
Se ha publicado el ranking de OWASP para los principales riesgos de seguridad de API en 2023. La lista incluye muchos paralelos con la lista de 2019, algunas reorganizaciones/redefiniciones y algunos conceptos nuevos. Relacionado Relacionado Relacionado