OWASP, el “mecanismo” de defensa contra las amenazas web

OWASP, el “mecanisme” de defensa contra les amenaces web

12 març de 2025 Iñigo Ladrón Morales

Tots els productes i serveis informàtics de programari i maquinari compten en el seu haver errors, incorreccions, problemes, bugs, llacunes de seguretat o forats de seguretat, o vulnerabilitats.

El aprofitar-se d'aquests errors, realitzant tasques d'explotació de vulnerabilitats en serveis, sistemes, aplicacions i xarxes informàtiques està a l'ordre del dia i és l'objectiu principal dels ciberatacants i ciberdelinqüents, sabedors que és un camí “fàcil” per penetrar per aquests forats, accedir, aconseguir privilegis i assolir els seus objectius.

Una vulnerabilitat és, per tant, una feblesa o fallada en un sistema que pot ser explotada per un ciberatacant per comprometre la seguretat d'aquest sistema, afectant així la integritat, disponibilitat o confidencialitat de la informació. Aquestes vulnerabilitats poden existir en diverses capes de la infraestructura tecnològica, des del nivell de xarxa fins al nivell d'aplicació. Algunes de les àrees més vulnerables inclouen aplicacions web, sistemes operatius, bases de dades, dispositius de xarxa i qualsevol altre tipus de programari.

Les vulnerabilitats es poden classificar en diverses categories, cadascuna amb el seu propi conjunt d'efectes i mètodes d'explotació:

Vulnerabilitats d'Injecció. Algunes de les més conegudes són SQL injection (injecció de codi SQL) i XSS (Cross-Site Scripting), les quals permeten als atacants executar codi no permès en el sistema atacat i accedir o modificar dades sensibles dins d'un sistema informàtic.
Vulnerabilitats d'Autenticació i Control d'Accés. Aquestes permeten als ciberatacants eludir els models i sistemes d'autenticació, i identificació d'usuaris, o aconseguir accessos sense restriccions i amb privilegis a funcions o dades no autoritzades.
Vulnerabilitats de Gestió de Sessions. Permeten als ciberatacants apropiar-se i secuestrejar sessions d'usuari legítimes per realitzar accions en nom de l'usuari, sense que ningú n'és conscient.
Vulnerabilitats de Configuració Insegura. Basades simplement en l'error de configuració ja que ocorren quan un sistema està parametritzat de manera incorrecta, exposant així dades o funcionalitats sensibles.
Vulnerabilitats d'Exposició de Dades Sensibles. Suposen l'exposició d'informació confidencial, com ara contrasenyes o dades personals sensibles i confidencials, a persones no autoritzades.
Vulnerabilitats de Fuga d'Informació. Aquestes vulnerabilitats permeten la divulgació no autoritzada d'informació sensible.
Vulnerabilitats de Denegació de Servei (DoS / DDoS). Aquest tipus de vulnerabilitats poden portar a la caiguda del servei o a la saturació de recursos del sistema, afectant a la disponibilitat del sistema i a la continuïtat del negoci.

Per combatre aquest tipus damenaces, es requereix una comprensió profunda de les vulnerabilitats existents en tots els nostres sistemes informàtics, a més d'una estratègia efectiva amb la qual aquestes es gestionin convenientment.

Aquí és on entra en joc OWASP (Open Web Application Security Project), que no és més que una comunitat global dedicada a millorar la seguretat del programari. En concret, es tracta d'una comunitat mundial, sense ànim de lucre, que se centra a proporcionar recursos, eines, guies i projectes de codi obert per ajudar les empreses a comprendre, identificar i mitigar les vulnerabilitats en aplicacions web i serveis web i construir aplicacions i serveis segurs.

La gestió de vulnerabilitats implica identificar, classificar i remediar les debilitats de seguretat en un sistema informàtic. Les empreses utilitzen eines d'escaneig de vulnerabilitats i frameworks com CVE (Vulnerabilitats i Exposicions Comunes) i CVSS (Sistema de Puntuació de Vulnerabilitats Comunes), per catalogar i avaluar el risc associat a cada vulnerabilitat descoberta (ja sigui aquesta coneguda o un Zero Day d'imminent aparició).

Tant el pentesting (testing d'intrusió) com el test d'intrusió, tot i que semblen el mateix, no ho són. Es tracta de tècniques utilitzades per avaluar la seguretat d'un sistema informàtic, però difereixen entre elles en el seu enfocament i abast. El pentesting se centra a simular un atac real contra un sol sistema (o subsistema) en concret. Per la seva banda, el test d'intrusió té un caràcter i abast més ampli, ja que avalua la seguretat d'una infraestructura en conjunt, incloent tots els sistemes, subsistemes, xarxes i polítiques de seguretat.

OWASP proporciona les pautes i les eines necessàries perquè es puguin emprar tant en pentesting com en test d'intrusió, amb l'objectiu d'identificar i mitigar vulnerabilitats en un sistema individual o en tota una infraestructura. Per exemple, les eines de OWASP ZAP (Zed Attack Proxy) són àmpliament utilitzades pels professionals de la ciberseguretat per identificar vulnerabilitats en aplicacions web durant les proves de penetració.

A més de OWASP, hi ha altres organitzacions com MITRE (MITRE ATT&CK, o matriu de tècniques d'atac) i ICS2 (ICS2, o Consorci Internacional de Certificació de Seguretat dels Sistemes d'Informació) que se centren en la ciberseguretat, però tenen enfocaments i àrees d'interès diferents a les de OWASP.

MITRE és una organització, sense ànim de lucre, que se centra en la investigació i desenvolupament de tecnologies i estàndards en matèria de ciberseguretat.
ICS2 se centra en la certificació i formació de professionals de ciberseguretat.

De totes maneres, entre totes elles, OWASP, MITRE i ICS2, existeixen solapaments i superposicions en diverses àrees d'actuació, tot i que OWASP destaca pel seu enfocament específic en la ciberseguretat del programari i ciberseguretat de les aplicacions web.

OWASP compta amb un TOP 10 de vulnerabilitats que evoluciona amb el temps. Es tracta d'una llista de les 10 vulnerabilitats més crítiques en aplicacions web. Aquestes es classifiquen basant-se en l'experiència de reconeguts experts de la ciberseguretat.

Actualment, l'última versió existent és el OWASP Top 10 de 2021. Algunes de les seves vulnerabilitats TOP són les corresponents a la injecció de codi, l'autenticació incorrecta/defectuosa i l'exposició de dades sensibles. Aquestes vulnerabilitats representen els riscs més comuns i urgents que les empreses han d'abordar per garantir la seguretat de les seves aplicacions web.

Però, com es detecten, s'identifiquen i es nomenen les vulnerabilitats? Es tracta d'un procés sistemàtic, conscient i rigorós que implica la recopilació d'informació sobre el OWASP Top 10 de 2021, així com l'anàlisi del seu impacte potencial i també de les mesures de mitigació disponibles.

Les vulnerabilitats es nomenen d'acord amb estàndards establerts en la indústria de la ciberseguretat, com ara:

CVE (Vulnerabilitats i Exposicions Comunes). Consisteix en un diccionari públic, o sistema d'identificació i nomenclatura de vulnerabilitats que s'empra a nivell mundial, el qual proporciona identificadors únics per a cada vulnerabilitat, facilitant així la interoperabilitat entre eines de seguretat i la col·laboració entre organitzacions.
CVSS (Sistema Comú de Puntuació de Vulnerabilitats). Consistent en un sistema de puntuació que s'utilitza per avaluar numèricament el risc/ciber-risc associat a una vulnerabilitat, tenint en compte factors com la seva gravetat, el seu abast, la facilitat d'explotació, i l'impacte potencial.

En conclusió, OWASP desempenya un paper fonamental en la millora de la ciberseguretat del programari i les aplicacions web, proporcionant recursos i eines que ajuden les organitzacions a identificar, mitigar i remediar vulnerabilitats, protegint així els actius digitals i la privadesa dels usuaris.

Amb el seu enfocament centrat en la comunitat i el codi obert, OWASP continua sent un actor clau en la lluita contra les ciberamenaces en constant evolució.

Per descomptat, a Zerolynx utilitzem habitualment OWASP i tots aquests models i frameworks estandarditzats globalment, en el moment de la prestació dels nostres Serveis de Detecció, com ara:

- El Hacking sobre Plataforma CMS (Pentest Web).
- El Pentesting intern i extern.
- La Auditoria de Seguretat Web.
- La Auditoria de Seguretat d'Aplicacions Mòbils.
- Les Proves de Denegació de Servei (DoS).

Et convidem a conèixer tots els serveis de Zerolynx.