OWASP Top 10 2007 y reuniones en Dublin

Uno de mis nuevos compañeros de trabajo es contribuidor de OWASP, que es una comunidad abierta centrada en el estudio de la seguridad en el software. Su página web está llena de contenidos super interesantes, y entre las cosas que han venido haciendo estos años está la publicación de un informe con las 10 amenazas más importantes para las aplicaciones web.

La última versión del informe es la del año pasado: OWASP Top 10 2007 (PDF). Aunque muchos estaréis familiarizados con las diferentes amenazas, no está nunca demás el repasarse el documento de unas treinta y pico páginas y de lectura bastante amena. Resumiendo, las amenazas son:

1. Cross Site Scripting (XSS)


2. Injection flaws


3. Malicious File Execution


4. Insecure Direct Object Reference


5. Cross-Site Request Forgery


6. Information Leakage and improper Error Handling


7. Broken Authentication and Session Management


8. Insecure Cryptographic Storage


9. Insecure Communications


10. Failure to Restrict URL access

El informe explica cada una de estas amenazas, a que se deben, y ofrece consejos para corregir estos errores y defenderse de ataques potenciales en diferentes lenguajes.

Por otra parte, la gente de OWASP en Irlanda realiza eventualmente algunas reuniones en el edificio de Ernst & Young en Harcourt Street (en frente al Odeon), por si alguien se anima a pasarse por ahí. La próxima, si no me equivoco es el 21 de Abril. Y yo me intentaré pasar por ahí.