Top 10 Proactive Controls

Los Top 10 Controles Proactivos de OWASP describen los controles y categorías de control más importantes que los arquitectos de seguridad y los equipos de desarrollo deberían considerar en proyectos de aplicaciones web.

¿Qué son los Top 10 Controles Proactivos?

Los Top 10 Controles Proactivos de OWASP es una lista de técnicas de seguridad que deberían considerarse para aplicaciones web. Están ordenados por orden de importancia, siendo el control número 1 el más importante:

• C1: Implementar Control de Acceso, ref Hojas de Referencia
• C2: Usar Criptografía de la manera correcta, ref Hojas de Referencia
• C3: Validar todas las Entradas y Manejar Excepciones, ref Hojas de Referencia
• C4: Encargarse de la Seguridad desde el Inicio, ref Hojas de Referencia
• C5: Configuraciones Seguras por Defecto, ref Hojas de Referencia
• C6: Mantener sus Componentes Seguros, ref Hojas de Referencia
• C7: Implementar Identidad Digital, ref Hojas de Referencia
• C8: Aprovechar las Características de Seguridad del Navegador, ref Hojas de Referencia
• C9: Implementar Registro y Monitoreo de Seguridad, ref Hojas de Referencia
• C10: Detener la Falsificación de Solicitudes del Lado del Servidor, ref Hojas de Referencia

¿Por qué usarlos?

Los Controles Proactivos son una lista bien establecida de controles de seguridad, publicada por primera vez en 2014 y revisada en 2018, por lo que considerar estos controles puede verse como una mejor práctica. Seguir las mejores prácticas siempre es recomendable: como mínimo, una organización debería evitar las vulnerabilidades evitables.

Implementar estos controles proactivos puede ayudar a remediar vulnerabilidades de seguridad comunes, por ejemplo:

• Clickjacking
• Credential Stuffing (Relleno de credenciales)
• Cross-site leaks (Fugas entre sitios)
• Ataques de Denegación de Servicio (DoS)
• Ataques XSS basados en DOM incluyendo DOM Clobbering
• IDOR (Referencia de Objeto Directa Insegura)
• Inyección incluyendo inyección de comandos del sistema operativo y XXE
• Ataques de inyección específicos de LDAP
• Contaminación de prototipos
• Ataques SSRF
• Inyección SQL y el uso de Parametrización de Consultas
• Redirecciones y reenvíos no validados
• Ataques XSS y Evasión de Filtros XSS

Cómo aplicarlos

La serie OWASP Spotlight proporciona una visión general de cómo utilizar este proyecto de documentación: 'Proyecto 8 - Controles Proactivos'.

Durante el desarrollo de una aplicación web, considere utilizar cada control de seguridad descrito en las secciones de los Controles Proactivos que sean relevantes para la aplicación.

Las Hojas de Referencia de OWASP han sido indexadas específicamente para cada Control Proactivo, que pueden utilizarse como información adicional sobre la implementación del control.

Referencias

• Proyecto de Controles Proactivos de OWASP
• Índice de Controles Proactivos de Hojas de Referencia de OWASP

---

Traducción de versión original en inglés.

La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse, cree un issue o edítelo en GitHub.