Updates OWASP Top Ten Project/es


 * ¿Que hay de nuevo?
 * OWASP ha recorrido un largo camino desde que la última lista fuer publicada en Enero de 2003. Esta actualización incorpora todas las discuciones, puntos de vista, opiniones y debates en la comunidad OWASP de los ultimos 12 meses.  En general, ha habido mejoras menores a todas las secciones de la lista y solo algunos cambios mayores:


 * Alineación a WAS-XML
 * Uno de los proyectos que inició en 2003 es el comité técnico de seguridad en aplicaciones Web (WAS TC por sus siglas en inglés) en OASIS. El propósito de el WAS TC es producir un esquema de clasificación para vulnerabilidades en aplicaciones Web, un modelo para proveer lineamientos para los ratings de las amenazas, impacto y riesgos. En un equema para describir las condiciones en seguridad Web que pueden ser usadas por herramientas de pruebas y protección. El proyecto de las 10 mayores de OWASP ha usado el WAS TC como referencia para reclasificar la lista y proveer una solución estandarizada sobre vulnerabilidades de seguridad en aplicaciones Web. El listado de WAS define un lenguaje estandar para discutir la seguridad en aplicaciones web, y nosotros adoptamos ese vocabulario aqui.


 * Adición de negación de servicio
 * La única categoria de alto nivel que cambió fue la adición de A9 Negación de Servicio a la lista. Nuestra investigación mostro que un amplio espectro de organizaciones son susceptibles a este tipo de ataque. Basándonos en al probabilidad un ataque de negación de servicio y las consecuencias si el ataque es exitoso, hemos determinado que merece ser incluida en la lista. Para acomodar este nuevo tema, hemos combinado el A9 Fallas de administración remota del año padaso en la categoria A2 Control de acceso disfuncional dado que es un caso especial de esa categoría. Creemos que es apropiado, dado que los tipos de fallas en A2 son regularmente las mismas que en A9 y requieren el mismo tipo de remediación.

La tabla abajo ilustra la relación entre la nueva lista, la lista del año pasado y la lista del WAS TC.