OWASP API SECURITY 2023
El OWASP o el proyecto abierto de seguridad de aplicaciones web, es una organización internacional sin ánimo de lucro dedicada a la seguridad de las aplicaciones web.
OWASP Top 10 es un informe en el que se exponen los problemas de seguridad de las aplicaciones web, centrándose en los 10 riesgos más importantes.
El OWASP hace referencia al Top 10 como un «documento de concienciación», y recomienda que todas las empresas incorporen el informe a sus procesos para minimizar o mitigar los riesgos de Seguridad. El informe lo elabora y actualiza un equipo de expertos en seguridad de todo el mundo.
Recientemente, OWASP (Open Web Application Security Project) ha actualizado su top 10 de riesgos de Seguridad en API pasando de la anterior versión de 2019 a una actualizada de 2023.
TOP 10 DE RIESGOS OWASP 2023
La versión 2023 del top 10 de riesgos API 2023 ha quedado de la siguiente manera:
1.Broken Object Level Authorization – Autorización a nivel de objeto rota
2.Broken Authentication – Autenticación rota
3.Broken Object Property Level Authorization – Autorización de nivel de propiedad de objeto rota
4.Unrestricted Resource Consumption – Consumo de recursos sin restricciones
5.Broken Function Level Authorization – Autorización a nivel de función rota
6.Server Side Request Forgery – Falsificación de peticiones del lado del servidor
7.Security Misconfiguration – Configuración no segura
8.Lack of Protection From Automated Threats – Falta de protección frente a amenazas automatizadas
9.Improper Asset Management – Gestión inadecuada de activos
10.Unsafe Consumption of APIs – Consumo no seguro de APIs
NOVEDADES OWAPS
Esta versión trae como novedades lo siguiente riesgos:
- El puesto 3: Broken Object Property Level Authorization, que combina los riesgos de exposición excesiva de datos y asignación en masa de 2019, centrándose en la causa raíz.
- El puesto 6: Lack of Protection From Automated Threats, que se centra en la lógica de negocio y los diferentes procesos de las peticiones.
- El puesto 10: Unsafe Consumption of APIs, que revisa las los datos recibidos por las diferentes APIs que interactúan con la aplicación.
El resto de los riesgos, se han mantenido o actualizado.
Para información mas detallada, se recomienda revisar los repositorios oficiales de OWASP.
Alejandro Quesada,
Auditor de Ciberseguridad.