OWASP Top10 2021
Todo el mundo conoce el OWASP Top-10, así como el hecho de que se actualiza solo cada tres o cuatro años. Con la última actualización publicada en 2017, no es de extrañar que este año llegue una nueva versión. Durante mi carrera en seguridad de aplicaciones, vi OWASP Top-10 al menos en 2003, 2004, 2007, 2010, 2013 y 2017.
Dado que el proceso de creación de OWASP no está bien documentado, parece razonable construir una clasificación abierta y transparente para las mismas categorías en base a una gran cantidad de informes de seguridad.
El propósito de este trabajo es hacer predicciones OWASP Top-10 2021 calculadas mediante métricas comprensibles, hacer que todos puedan reproducir los resultados y presentarlos a toda la comunidad para recibir comentarios. El siguiente trabajo se basa en un análisis de 2 millones de informes de seguridad de 144 fuentes públicas, incluidos boletines CVE, informes de recompensas de errores y boletines de seguridad de proveedores.
Categorías superpuestas en OWASP Top-10
Lo primero que debo mencionar sobre OWASP Top-10 es que no es una clasificación de vulnerabilidad y ni siquiera la clasificación en ningún momento, ya que las categorías se superponen. Me refiero al artículo del bulevar de seguridad y a nuestra publicación de blog que describe la interferencia que se presenta en el siguiente diagrama:
En resumen: OWASP Top-10 NO ES una clasificación de vulnerabilidad, sino la lista de los riesgos que se han revelado durante el último período de tiempo. Es por eso que para predecir la próxima lista OWASP Top-10 2021, tenemos que analizar las amenazas a los activos web objetivo durante los últimos cuatro años. Así que, aquí vamos.
Metodología
Para encontrar los datos estadísticos, utilizamos Vulners.com, que es una base de datos agregada que incluye más de 4 millones de boletines de 144 proveedores , incluidos programas de recompensas por errores como HackerOne.
La cantidad total de boletines utilizados para crear esta lista es 2 168 521 (consulta de búsqueda: “publicado: [2018-01-01 TO 2020-12-31]”).
Para dividir los datos por categorías, creamos consultas de búsqueda de vulners para las diez categorías de OWASP. Aunque la búsqueda de texto completo no es la solución más precisa para clasificar datos, creo que puedo confiar en esta tarea en particular. El punto es que todas las categorías de OWASP se pueden encontrar en los boletines de seguridad buscando acrónimos y abreviaturas como XSS, XXE, SQL, RCE, etc.
La categoría "Vulnerabilidades conocidas" está fuera de la consulta de búsqueda de texto completo. El número total de informes de seguridad relacionados con la web se tomó como la cantidad total de números CVE asignados durante los últimos tres años.
No es una broma, pero según las estadísticas de Vulners, XSS toma el 20% de TODOS los boletines de seguridad de los últimos tres años. Es casi 10 veces más que todos los CVE emitidos en los últimos tres años. Dado que muchos de los XSS no tienen una puntuación CVSS (es decir, cero), una puntuación media para muchos de ellos sigue siendo 0,1. Ese hecho, sin embargo, no impide que XSS llegue al Top-3 en una tabla. Nuevamente, porque son tantos como se encontró cada quinto boletín en los últimos tres años.
Puede reutilizar las siguientes consultas para validar, modificar o realizar su propio análisis:
| Mapeo de los 10 principales de 2017 a 2021 | Consulta de busqueda |
| A1. Inyecciones | inyección O transversal O lfi O "comando os" O SSTI O RCE O "código remoto" |
| A2. Autenticación rota | autenticación |
| A3. Exposición de datos sensibles | datos Y sensibles |
| FUSIÓN: A8. Deserialización insegura + A4. XXE | XXE O deserialización O deserialización O "entidades externas" |
| A5. Control de acceso roto | control de acceso |
| A6. Mala configuración de seguridad | configuración incorrecta O configuración incorrecta O configuración incorrecta |
| A7. XSS | XSS |
| NUEVO: SSRF | SSRF O "falsificación de solicitud del lado del servidor" |
| A9. Vulnerabilidades conocidas | escriba: cve y (http O web O html) |
| A10. Registro y monitoreo insuficientes | Inicio sesión |
Como puede ver, mi fuerte opinión es que la comunidad OWASP agregará la nueva categoría SSRF y fusionará “A4. XXE - Entidad externa XML ”y“ A8. Deserialización insegura ” en el próximo OWASP Top-10 2021. He aquí por qué.
Propuesta 1. Agregar la SSRF como una nueva categoría.
Como inventor de la SSRF y autor de la “hoja de referencia bíblica de la SSRF”, definitivamente guardo sentimientos cálidos al respecto.
A pesar de esto, permítame mencionar solo los cuatro hechos más poderosos relacionados con la SSRF:
- Los ataques SSRF se convierten en el número 3 de las vulnerabilidades más críticas a partir de las estadísticas del primer semestre de 2020 https://www.hackerone.com/top-ten-vulnerabilities
- Amazon se lo tomó en serio y se incorporó a los servicios de metadatos de EC2 a fines de 2019: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities -ec2-servicio-de-metadatos-de-instancia /
- SSRF causó muchos problemas de seguridad de alto riesgo, incluido el hack más famoso de Capital One con un bypass de WAF, explicado en detalle por Krebs en Seguridad https://krebsonsecurity.com/2019/08/what-we-can-learn- de-la-capital-un-truco /
- Según las estadísticas globales recopiladas por Vulners, SSRF mencionado en 912 boletines durante los últimos tres años, casi la misma cantidad de veces que OWASP Top-10 2017 A4 / XXE (1000 resultados) y 2.5 veces más a menudo que la configuración incorrecta de seguridad (resultados A6 / 481 ).
En resumen, la SSRF es un problema crítico que provoca tomas de control de la nube, ejecución remota de código, violaciones de datos y otros riesgos de seguridad de la información . Es imposible arreglar SSRF mediante el filtrado de entrada y otros mecanismos de validación de datos. Amazon y otros proveedores de la nube se lo toman en serio y aplican cambios a sus infraestructuras para mitigar estas amenazas. Problemas de SSRF mencionados en casi la misma cantidad de boletines de seguridad que XXE en los últimos tres años. Por eso estoy seguro de que nadie me culpará por agregarlo al OWASP Top-10 2021.
Propuesta 2. Fusionar XXE y deserialización insegura
XML es el formato de serialización, según Wikipedia ( https://en.wikipedia.org/wiki/Serialization ). La vulnerabilidad XXE, también conocida como Xml eXternal Entities, es técnicamente una función de serialización que permite incluir contenido de archivos locales y remotos en el documento XML. A veces causa SSRF, por cierto. Es por eso que es absolutamente cierto que XXE es parte de la categoría de deserialización insegura de todos modos, que mencioné en un montón de artículos relacionados con las debilidades del Top 10 2017 de OWASP.
Además, no hay forma de reclamar XXE como la categoría separada si se reúne prácticamente todo, desde la inyección SQL hasta Path Traversal y el sistema operativo que controla un grupo vago “A1. Inyecciones ”que liderará a OWASP durante años, seguro.
Debido a estos dos hechos, además de los datos estadísticos de la cantidad de informes de seguridad en cada una de las categorías, decidí fusionar XXE y Deserialización insegura en una sola clase.
Propuesta 3. Introducir la puntuación de riesgo general
Para ordenar mis suposiciones del OWASP Top-10, para cada una de las categorías, apliqué un puntaje CVSS promedio multiplicado por la cantidad de informes. De hecho, debido a que muchos de los boletines tienen un puntaje CVSS de 0, el puntaje de resultado debe interpretarse como un puntaje CVSS promedio para la categoría, pero solo demuestra las proporciones correctas entre ellos.
En pocas palabras, para ordenar las categorías de OWASP, se aplicó la siguiente fórmula:
Riesgo general = Promedio. CVSS x Cantidad de boletines
Cálculo de la calificación OWASP Top 10 2021
Como se mencionó anteriormente, utilicé datos agregados de 144 fuentes de datos, como los boletines de seguridad que indexó Vulners.com. Este enfoque permite contar no solo los datos CVE, sino también todos los informes, incluidas las recompensas de errores, las vulnerabilidades y las detecciones de escáner que dependen del estado real de la seguridad de la información. Si contamos solo los CVE, los resultados serán dramáticamente diferentes, ya que la categoría "Vulnerabilidades conocidas" será técnicamente igual en un recuento a todas las demás categorías en una suma.
Entonces, aquí está la forma más justa de construir OWASP Top-10, ¡mira eso!
| #OWASP | Top-10 2021 | Consulta de búsqueda de Vulners | Promedio CVSS | # de boletines | Puntaje general |
| A1 | Inyecciones | inyección O transversal O lfi O "comando os" O SSTI O RCE O "código remoto" | 4.83 | 34061 | 164514.63 |
| A2 | Autenticación rota | autenticación | 4.08 | 13735 | 56038.8 |
| A3 | Secuencias de comandos entre sitios (XSS) | xss | 0,1 | 433353 | 43335.3 |
| A4 | Exposición de datos sensibles | datos Y sensibles | 3,55 | 5990 | 21264.5 |
| A5 | Deserialización insegura | XXE O deserialización O deserialización O "entidades externas" | 5.33 | 2985 | 15910.05 |
| A6 | Control de acceso roto | control de acceso | 0,72 | 16967 | 12216.24 |
| A7 | Registro y monitoreo insuficientes | Inicio sesión | 3.35 | 2309 | 7735.15 |
| A8 | Falsificación de solicitud del lado del servidor (SSRF) | SSRF O "falsificación de solicitud del lado del servidor" | 3.8 | 1139 | 4328,2 |
| A9 | Vulnerabilidades conocidas | escriba: cve y (http O web O html) | 5.38 | 376 | 2022.88 |
| A10 | Mala configuración de seguridad | configuración incorrecta O configuración incorrecta O configuración incorrecta | 2,27 | 480 | 1089,6 |
Comparación de resultados y OWASP Top Ten 2017
Después de todo, estoy bastante seguro de compartir la siguiente propuesta de OWASP Top 10 para 2021, ya que se basa en datos estadísticos disponibles públicamente.
Espero que estos datos sean útiles para evaluaciones de riesgos, gestión de vulnerabilidades, fines educativos y una lectura interesante para los expertos y entusiastas de la seguridad de aplicaciones.
Los expertos en seguridad de aplicaciones también podrían encontrar una distribución interesante de estas categorías por cantidad de informes de seguridad, boletines de media, recompensas de errores, exploits, en total:
ℹ️ Fuente: ¡Gracias por leer! Ivan, Wallarm .
0 Comentarios