El modelo de control de acceso de una aplicación web está estrechamente relacionado con el contenido y las funciones que proporciona el sitio. Si no está configurado correctamente, los piratas informáticos pueden obtener acceso a archivos confidenciales y desfigurar el sitio.

Traducción al Ingles: Broken Access Control

El software criptoanalítico implica diferentes programas de software que se utilizan para descifrar cifrados. Formalmente llamada Exposición de datos confidenciales, una falla criptográfica significa que la información que se supone que está protegida de fuentes no confiables ha sido revelada a los atacantes. Los piratas informáticos pueden acceder a información como los datos del procesador de tarjetas de crédito o cualquier otra credencial de autenticación.

Traducción al Ingles: Cryptographic Failures

Utilizar código SQL para manipular una base de datos de backend y así revele información confidencial, se denomina ataque de inyección. Las fallas de inyección, como NoSQL, OS, LDAP e inyección SQL, ocurren cuando se envían datos que no son de confianza a un intérprete como parte de un comando o consulta.

Traducción al Ingles: Injection

Los ataques de Cross-Site Scripting (XSS) son otro tipo de inyección. Los scripts maliciosos se inyectan en sitios web de confianza y benignos que pueden reescribir el contenido de la página HTML.

Traducción al Ingles: Injection

La falsificación de solicitud del lado del servidor (SSRF) es un tipo de ataque que puede ocurrir cuando un pirata informático no solo puede ver listas no autorizadas, eliminar tablas y tener acceso administrativo no autorizado, sino también realizar la ejecución remota de código desde el servidor back-end de una aplicación web vulnerable.

Traducción al Ingles: Injection

Esta es una nueva categoría para 2021 y la atención se centra en los riesgos relacionados con las fallas de diseño. Se necesitan más modelos de amenazas, patrones y principios de diseño seguros y arquitecturas de referencia para protegerse contra diseños inseguros para páginas web.

Traducción al Ingles: Insecure Design

Esta es una adición importante porque los desarrolladores deben ser conscientes de cómo el diseño y los conceptos arquitectónicos deben configurarse e implementarse correctamente en el código. La implementación incorrecta de conceptos de diseño y arquitectura en el código puede crear vulnerabilidades de seguridad.

Traducción al Ingles: Insecure Design

Los ataques de entidades externas XML se han incorporado a una configuración incorrecta de seguridad este año. Es una amenaza creciente debido a más cambios en las configuraciones de software

Traducción al Ingles: Security Misconfiguration

Anteriormente titulada Uso de componentes con vulnerabilidades conocidas, esta categoría representa un problema conocido que los expertos de OWASP han descubierto que muchos continúan luchando para probar la evaluación de riesgos.

Traducción al Ingles: Vulnerable and Outdated Components

Muchos problemas de seguridad se han atribuido a componentes de software de terceros obsoletos. Esto se ve agravado por la creciente preocupación de que el tiempo para explotar se está reduciendo y las organizaciones no están parcheando o reparando las vulnerabilidades con la suficiente rapidez.

Traducción al Ingles: Vulnerable and Outdated Components

Las vulnerabilidades de autenticación como categoría han caído desde la segunda posición entre los diez primeros porque la mayor disponibilidad de marcos estandarizados parece estar ayudando.

Traducción al Ingles: Identification and Authentication Failures

Anteriormente se llamaba vulnerabilidad de autenticación rota porque puede resultar en una denegación de servicio cuando las cuentas de usuario no pueden ser autenticadas. La autenticación multifactor no se implementa en la mayoría de los casos. Ahora incluye CWE que están más relacionados con fallas de identificación.

Traducción al Ingles: Identification and Authentication Failures

Como nueva categoría para 2021, se centra en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI / CD sin verificar la integridad. A8: 2017 — La deserialización insegura ahora es parte de esta categoría más amplia.

Traducción al Ingles: Software and Data Integrity Failures

La creciente preocupación por los ataques recientes asociados con la brecha de SolarWinds y la protección del entorno de construcción aumenta la importancia de esta amenaza. La integridad del software ha sido mencionada específicamente en la Orden Ejecutiva sobre Ciberseguridad, sección 4.

Traducción al Ingles: Software and Data Integrity Failures

Esta categoría se ha ampliado para incluir más tipos de fallas que pueden afectar directamente a la visibilidad, las alertas de incidentes y la ciencia forense.

Traducción al Ingles: Security Logging and Monitoring Failures

Los datos muestran que hay una tasa de incidencia baja para esta categoría que se acaba de agregar al Top 10.

Traducción al Ingles: Server-Side Request Forgery