OWASP Top 10: Riesgos en Aplicaciones Web

El OWASP Top 10 es la lista de referencia mundial de los riesgos de seguridad más críticos en aplicaciones web, mantenida por la Open Web Application Security Project.

Factores de datos de cada categoría

• CWE asignados: número de debilidades (Common Weakness Enumeration) mapeadas a la categoría.
• Tasa de incidencia: porcentaje de aplicaciones vulnerables encontradas en pruebas reales.
• Cobertura de pruebas: porcentaje de apps analizadas para ese CWE.
• Explotación ponderada: subpuntuación CVSSv2/v3 normalizada (escala 0-10).
• Impacto ponderado: subpuntuación de impacto CVSSv2/v3 normalizada.
• CVE totales: total de CVEs en la base NVD asignados a los CWE de la categoría.

OWASP Top 10 — 2021

Posición	Categoría	Descripción breve
A01	Broken Access Control	Sube desde #5. El 94% de las apps fueron probadas. Controles de acceso defectuosos.
A02	Fallos Criptográficos	Antes: Exposición de datos sensibles. Ahora enfocado en fallos de cifrado en tránsito y reposo.
A03	Inyección	Baja al #3. SQL, NoSQL, OS, LDAP. El 94% de las apps fueron testadas.
A04	Diseño Inseguro	Nueva categoría 2021. Fallos de diseño y arquitectura de seguridad.
A05	Error de Configuración	Sube desde #6. El 90% de apps testadas tenían algún error de configuración.
A06	Componentes Vulnerables	Antes #2 en la encuesta de industria. Uso de librerías y componentes desactualizados.
A07	Fallos de Autenticación	Baja desde #2. Incluye CWE de fallos de identificación.
A08	Integridad de Software y Datos	Nueva categoría. Supuestos incorrectos en actualizaciones y pipelines CI/CD.
A09	Fallos de Registro y Monitoreo	Sube. Registro insuficiente que retrasa la detección de brechas.
A10	SSRF	Nueva desde encuesta de industria. Tasa de incidencia baja pero impacto alto.

Descripción y contramedidas de las principales vulnerabilidades

SQL Injection (A03)

Inyección de código SQL en variables de la aplicación para manipular la base de datos.

-- Ataque: mipass=' OR ''='
-- Defensa:
$stmt = $pdo->prepare("SELECT * FROM users WHERE pass = ?");
$stmt->execute([$_POST['password']]);

XSS — Cross-Site Scripting (A03)

Inyección de scripts en páginas vistas por otros usuarios.

// Defensa: escapar salida
echo htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
// + Content-Security-Policy en cabeceras HTTP

XXE — XML External Entities (A03)

Las aplicaciones que procesan XML pueden ser engañadas para incluir entidades externas.

# Defensa: deshabilitar DTDs en el parser XML
libxml_disable_entity_loader(true);

Broken Access Control (A01)

Usuarios acceden a recursos o funciones para los que no tienen permiso.

// Defensa: verificar autorización en cada endpoint
if (!$user->hasPermission('admin')) { http_response_code(403); exit; }

Security Misconfiguration (A05)

• Limitar acceso a interfaces de administración.
• Deshabilitar depuración en producción.
• Eliminar cuentas y contraseñas por defecto.
• Deshabilitar listado de directorios.

Insecure Deserialization (A08)

Permite ejecución remota de código mediante objetos serializados manipulados.

// Defensa: verificar integridad con firma digital antes de deserializar

SSRF (A10)

La app realiza peticiones HTTP a dominios arbitrarios elegidos por el atacante.

// Defensa: lista blanca de dominios, no enviar respuestas raw al cliente
$allowed = ['api.example.com', 'cdn.example.com'];
if (!in_array(parse_url($url, PHP_URL_HOST), $allowed)) die('Forbidden');

Tipos de auditoría basada en OWASP

• Auditoría OWASP Top 10: revisión de las 10 categorías principales. Recomendada para una primera evaluación o cuando el presupuesto es limitado.
• Auditoría OWASP completa (ASVS): validación de los 90+ controles del estándar ASVS. Para aplicaciones críticas o con requisitos de compliance.