El Proyecto abierto de seguridad de aplicaciones web, o OWASP, es una organización internacional sin ánimo de lucro dedicada a la seguridad de las aplicaciones web. Uno de los principios fundamentales del OWASP es que todos sus materiales están disponibles de forma gratuita y son fácilmente accesibles en su sitio web, lo cual posibilita que cualquiera pueda mejorar la seguridad de su propia aplicación web. Entre los materiales que ofrecen se incluyen documentación, herramientas, vídeos y foros.

El OWASP Top 10 es un informe que se actualiza con regularidad y en el que se exponen los problemas de seguridad de las aplicaciones web, centrándose en los 10 riesgos más importantes. El informe lo elabora un equipo de expertos en seguridad de todo el mundo. El OWASP hace referencia al Top 10 como un "documento de concienciación", y recomienda que todas las empresas incorporen el informe a sus procesos para minimizar o mitigar los riesgos de seguridad.

  1. Broken Access Control (Control de acceso roto): Los atacantes pueden eludir restricciones de acceso y actuar como usuarios sin permisos.
  2. Cryptographic Failures (Fallos criptográficos): Exposición de datos sensibles debido a prácticas criptográficas débiles o mal configuradas.
  3. Injection (Inyección): Ataques donde se inyectan datos maliciosos en una consulta SQL, LDAP o comandos del sistema.
  4. Insecure Design (Diseño inseguro): Vulnerabilidades derivadas de un mal diseño de la aplicación, sin tener en cuenta la seguridad desde el principio.
  5. Security Misconfiguration (Mala configuración de seguridad): Configuraciones incorrectas de servidores, bases de datos o aplicaciones que dejan puertas abiertas a los atacantes.
  6. Vulnerable and Outdated Components (Componentes vulnerables y desactualizados): Uso de bibliotecas o frameworks con vulnerabilidades conocidas sin aplicar los parches.
  7. Identification and Authentication Failures (Fallos en la identificación y autenticación): Problemas con la autenticación o identificación de usuarios, como credenciales débiles o mal gestionadas.
  8. Software and Data Integrity Failures (Fallos en la integridad del software y los datos): Uso de software o dependencias sin comprobar su autenticidad.
  9. Security Logging and Monitoring Failures (Fallos en el registro y monitoreo de seguridad): Falta de registro adecuado de eventos de seguridad, lo que dificulta la detección de ataques.
  10. Server-Side Request Forgery (SSRF): Ataque en el que el servidor web realiza peticiones no autorizadas a otros recursos.