# OWASP Top Ten

El **OWASP Top Ten** es una lista de las diez vulnerabilidades más críticas en aplicaciones web, publicada por el **Open Web Application Security Project (OWASP)**. Esta lista sirve como un recurso fundamental para desarrolladores, auditores de seguridad y profesionales de la ciberseguridad para entender y mitigar las amenazas más prevalentes en el desarrollo de aplicaciones web.

## <mark style="color:green;">OWASP Top Ten 2021</mark>

### <mark style="color:green;">**1. Broken Access Control**</mark>

* **Descripción**: La falta de controles de acceso adecuados permite a los usuarios acceder a datos y funcionalidades no autorizadas.
* **Impacto**: Puede llevar a la exposición de información sensible y acciones no autorizadas.
* **Mitigación**: Implementar y validar controles de acceso robustos y realizar revisiones periódicas de los permisos.

### <mark style="color:green;">**2. Cryptographic Failures (Anteriormente "Sensitive Data Exposure")**</mark>

* **Descripción**: Fallos en la protección de datos sensibles debido a una criptografía inapropiada.
* **Impacto**: Puede resultar en la exposición de información crítica como datos financieros y personales.
* **Mitigación**: Utilizar algoritmos criptográficos seguros, implementar HTTPS y asegurar la protección de datos en tránsito y en reposo.

### <mark style="color:green;">**3. Injection**</mark>

* **Descripción**: La inserción de datos no confiables en una consulta o comando, permitiendo la ejecución de código malicioso.
* **Impacto**: Puede resultar en acceso no autorizado a datos, manipulación de datos o incluso control total del servidor.
* **Mitigación**: Validar y sanitizar todas las entradas del usuario, utilizar declaraciones preparadas y consultas parametrizadas.

### <mark style="color:green;">**4. Insecure Design**</mark>

* **Descripción**: Falta de medidas de seguridad integradas en el diseño de la aplicación.
* **Impacto**: Introduce vulnerabilidades desde la fase de diseño que pueden ser difíciles de mitigar más adelante.
* **Mitigación**: Incorporar prácticas de diseño seguro desde el inicio del desarrollo y realizar revisiones de seguridad en todas las fases del ciclo de vida del desarrollo.

### <mark style="color:green;">**5. Security Misconfiguration**</mark>

* **Descripción**: Configuraciones incorrectas de seguridad, como configuraciones predeterminadas inseguras y exposición de servicios innecesarios.
* **Impacto**: Puede llevar a la explotación de vulnerabilidades conocidas y acceso no autorizado.
* **Mitigación**: Revisar y aplicar configuraciones seguras, deshabilitar servicios y funcionalidades no utilizadas y realizar auditorías de configuración regularmente.

### <mark style="color:green;">**6. Vulnerable and Outdated Components**</mark>

* **Descripción**: Uso de componentes de software con vulnerabilidades conocidas.
* **Impacto**: Exposición a vulnerabilidades explotables que pueden comprometer la seguridad de la aplicación.
* **Mitigación**: Mantener componentes y dependencias actualizadas, utilizar herramientas de gestión de vulnerabilidades y monitorear las actualizaciones de seguridad.

### <mark style="color:green;">**7. Identification and Authentication Failures (Anteriormente "Broken Authentication")**</mark>

* **Descripción**: Fallos en la implementación de mecanismos de autenticación y gestión de sesiones.
* **Impacto**: Puede permitir el acceso no autorizado y la suplantación de identidad.
* **Mitigación**: Implementar controles robustos de autenticación y gestión de sesiones, utilizar autenticación multifactor y proteger las credenciales almacenadas.

### <mark style="color:green;">**8. Software and Data Integrity Failures**</mark>

* **Descripción**: Falta de integridad en el software y datos, permitiendo la manipulación no autorizada.
* **Impacto**: Puede llevar a la ejecución de código malicioso y pérdida de integridad de datos.
* **Mitigación**: Utilizar firmas digitales, integridad de archivos y controles de acceso adecuados.

### <mark style="color:green;">**9. Security Logging and Monitoring Failures**</mark>

* **Descripción**: Falta de registros y monitoreo de eventos de seguridad, lo que impide la detección y respuesta a incidentes.
* **Impacto**: Puede resultar en la falta de visibilidad sobre los ataques y retrasos en la respuesta a incidentes.
* **Mitigación**: Implementar logging y monitoreo exhaustivo, asegurar la integridad de los logs y establecer procedimientos de respuesta a incidentes.

### <mark style="color:green;">**10. Server-Side Request Forgery (SSRF)**</mark>

* **Descripción**: Permite a los atacantes hacer solicitudes desde el servidor de la aplicación a otros recursos internos o externos.
* **Impacto**: Puede permitir el acceso no autorizado a recursos internos y la exposición de datos sensibles.
* **Mitigación**: Validar y sanitizar todas las entradas, utilizar listas de control de acceso y restringir el acceso a recursos internos.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/cppj/appweb-for-juniors/owasp-top-ten.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.