Qué es OWASP y por qué todo desarrollador debería conocerlo
Personalmente, supe de OWASP cuando recién iniciaba como desarrollador en PlacetoPay (Hoy evertec) dado que es un requisito fundamental que todo desarrollador conociera y estuviera familiarizado en términos de seguridad y buenas prácticas de codificación. Así pues, parte del frecuente training incluía un capítulo entero dedicado a lo que ya veremos a continuación.
Qué es OWASP ?
OWASP (Open Web Application Security Project), es un proyecto sin ánimo de lucro a nivel mundial que busca mejorar la seguridad del software en general. Para esto, la organización se ha provisto de una serie de herramientos y documentos que explican cuáles son las brechas de seguridad más comunes en cualquier sistema de información. Sobra decir, que todos los materiales de OWASP están disponibles de manera libre (gratuita) para su libre consulta y uso.
Por qué es importante conocerlo ?
OWASP es una organización de talla mundial, no encontrarás un compendio de vulnerabilidades más grande que las que menciona OWASP tan bien documentadas. Muchas empresas dedicadas al desarrollo de software están concientes de esto, por lo cuál, no es nada raro que las buenas ofertas para nosotros los desarrolladores estén cargadas de un componente que incluya conocimientos en OWASP.
Cuáles son exactamente sus contenidos ?
Actualmente OWASP tiene en realidad varios proyectos en los que resaltan las categorías Tool Projects, Code Projects y Documentation Projects. El proyecto de documentación más conocido es el TOP TEN, en el cuál se listan las 10 vulnerabilidades (security risks) más habituales y cómo prevenirlas. En este top, reconocerás términos como SQL INJECTION, Cross-Site Scripting (XSS) y Broken Authentication. Sin más, te dejo con esta lista de diez riesgos de seguridad o vulnerabilidades.
TOP 10 - Most Critical Web Application Security Risks
- A1: Injection
- A2: Broken Authentication
- A3: Sensitive Data Exposure
- A4-XML External Entities (XXE)
- A5-Broken Access Control
- A6-Security Misconfiguration
- A7-Cross-Site Scripting (XSS)
- A8-Insecure Deserialization
- A9: Using Known Vulnerable Components
- A10-Insufficient Logging & Monitoring