Background OWASP Top Ten Project/es

Antecedentes
Es reto es identificar las "mayores" vulnerabilidades en applicaciones web es una tarea vurtualmente imposible. No hay siquiera un acuerdo generalizado sobre que exactamente esta incluido en el término "Seguridad de aplicaciones Web". Algunos argumentas que nos deberiamos enfocar en problemas que afectan a los desarrolladores escribiendo código de aplicaciones web personalizadas. Otros han argumentado una definición mas extensa que cubre la capa de aplicación completa, incluyendo librerias, configuración del servidor y protocolos en la capa de aplicación. Esperando tocar los riesgos mas serios que encaran las organizaciones, hemos decidido dar una interpretación relativamente amplia a la seguridad en aplicaciones Web, mientras que mantenemos fuera los problemas de seguridad de red e infraestructura.

Otro reto a este esfuerzo es que cada vulnerabilidad específica es única a el sitio de una organización en particular. No tendría mucho sentido en llamar vulnerabilidades especificas en las aplicaciones web de una organización en particular, especialmente porque serán (ojalá) resueltas pronto despues de que una gran cantidad de personas sepa de su existencia. Por lo tanto, nos hemos escogido enfocarnos en las mayores clases, tipos o categorías de vulnerabilidades en aplicaciones Web.

En la primera version de este documento, decidimos clasificar un amplio rango de problemas en aplicaciones web en categorias significativas. Estudiamos una variedad de esquemas para la clasificacion de vulnerabilidades y generamos un conjunto de categorías. Los factores que caracterizan una buena vulnerabilidad incluyen si la fallas estan muy relacionadas, pueden ser resueltas con medidas similares, y ocurren frecuentemente en arquitecturas típicas de aplicaciones Web. En esta version hemos presentado un esquema refinado. Este ha diso desarrollado con nuestro trabajo continuo en el comité técnico de OWASISWAS en el estaremos describiendo un conjunto de problemas con los cuales los investigadores de seguridad pueden describir firmas en formato XML.

Escoger los 10 mayores de una larga lista de candidatos tiene su propias dificultades. No hay simplemente fuentes confiables de estadisticas sobre problemas de seguridad en aplicaciones. En el futuro, nos gustaría obtener estadisticas sobre la frecuencia de ciertas fallas en el código de aplicaciones Web y usarlas para ayudarnos a priorizar la lista de los 10 mayores. Sin embargo, por un número de razones, este tipo de medidas no es probable que ocurra en el futuro cercano.

Reconnocemos que no hay una respuesta "correcta" para los categorías de vulnerabilidades que deben estar en la lista. Cada organizacion tendrá que pensar sobre el riesgo a sus organizaciones basadas en la probabilidad de tener una de esas fallas y las consecuencias especificas a sus compañías. Entre tanto, ponemos esta lista frente a un conjunto de problemas que representan un monto importante de riesgo a un amplio rango de organizaciones. Las 10 mayores por si mismas no estan en ningun orden en particular, dado que sería casi imposible determinar cual de ellos representa el mayor riesgo.

El proyecto de las 10 mayores es un esfuerzo en progreso constante para hacer la informacion sobre fallas de seguridad en aplicaciones disponible para una amplia audiencia. Esperamos actualizar este documento anualmente basandonos en la discusión de las listas de distribución de OWASP y la retroalimentación a topten@owasp.org.