Qué es OWASP y por qué todo desarrollador debería conocerlo

Author
Por Darío Rivera
Publicado el en OWASP

Personalmente, supe de OWASP cuando recién iniciaba como desarrollador en PlacetoPay (Hoy evertec) dado que es un requisito fundamental que todo desarrollador conociera y estuviera familiarizado en términos de seguridad y buenas prácticas de codificación. Así pues, parte del frecuente training incluía un capítulo entero dedicado a lo que ya veremos a continuación.

Qué es OWASP ?

OWASP (Open Web Application Security Project), es un proyecto sin ánimo de lucro a nivel mundial que busca mejorar la seguridad del software en general. Para esto, la organización se ha provisto de una serie de herramientos y documentos que explican cuáles son las brechas de seguridad más comunes en cualquier sistema de información. Sobra decir, que todos los materiales de OWASP están disponibles de manera libre (gratuita) para su libre consulta y uso.

Por qué es importante conocerlo ?

OWASP es una organización de talla mundial, no encontrarás un compendio de vulnerabilidades más grande que las que menciona OWASP tan bien documentadas. Muchas empresas dedicadas al desarrollo de software están concientes de esto, por lo cuál, no es nada raro que las buenas ofertas para nosotros los desarrolladores estén cargadas de un componente que incluya conocimientos en OWASP.

Cuáles son exactamente sus contenidos ?

Actualmente OWASP tiene en realidad varios proyectos en los que resaltan las categorías Tool Projects, Code Projects y Documentation Projects. El proyecto de documentación más conocido es el TOP TEN, en el cuál se listan las 10 vulnerabilidades (security risks) más habituales y cómo prevenirlas. En este top, reconocerás términos como SQL INJECTION, Cross-Site Scripting (XSS) y Broken Authentication. Sin más, te dejo con esta lista de diez riesgos de seguridad o vulnerabilidades.

TOP 10 - Most Critical Web Application Security Risks

riesgos en owasp

- A1: Injection
- A2: Broken Authentication
- A3: Sensitive Data Exposure
- A4-XML External Entities (XXE)
- A5-Broken Access Control
- A6-Security Misconfiguration
- A7-Cross-Site Scripting (XSS)
- A8-Insecure Deserialization
- A9: Using Known Vulnerable Components
- A10-Insufficient Logging & Monitoring


Acerca de Darío Rivera

Author

Application Architect at Elentra Corp . Quality developer and passionate learner with 10+ years of experience in web technologies. Creator of EasyHttp , an standard way to consume HTTP Clients.

LinkedIn Twitter Instagram

Sólo aquellos que han alcanzado el éxito saben que siempre estuvo a un paso del momento en que pensaron renunciar.