#CyberSecurityPulse: Las inyecciones de código y los XSS, entre las vulnerabilidades más detectadas en 2017

martes, 5 de diciembre de 2017

OWASP El Proyecto abierto de seguridad en aplicaciones web (OWASP, por sus siglas en inglés) acaba de actualizar la lista de las diez principales vulnerabilidades web por primera vez desde 2013 pero, tras revisarlo, no ha cambiado demasiado. Según esta lista, las mayores vulnerabilidades son aquellas producidos por cualquier fallo derivado de inyecciones de código y cross site scripting (XSS) siguen estando en el top ten a pesar de que estos errores hayan estado plagados en las aplicaciones web desde hace una década y media. En este sentido, el Informe de Investigaciones de brechas de seguridad (DBIR) realizado por Verizon viene a validar desde otro punto de vista estos datos. Durante 2017 se encontraron 1.935 brechas confirmadas y analizadas, y unas 571 implicaron ataques a aplicaciones web.

Por otro lado, otro aspecto también a tener en cuenta es el destacado por el informe realizado por Black Duck relativo al uso de proyectos open source por parte de gran parte de las industrias. En un 96% del software comercial se ha identificado el uso de proyectos open source y se han detectado vulnerabilidades conocidas en dos tercios de estas colecciones de código. La conclusión que se extrae es que al final muchas organizaciones no realizan un seguimiento y una gestión eficaz de los proyectos open source y, como resultado, no son plenamente conscientes de los riesgos que acompañan a su uso.

Los riesgos actuales evolucionan demasiado rápido, por lo que los escaneos realizados de vez en cuando se quedaron atrás. El desarrollo de software actual requiere de pruebas de seguridad continuas con el objetivo de hacer frente al enorme volumen de vulnerabilidades que se encuentran a diario.

Más información en OWASP

Noticias destacadas


Reino Unido lanza Cyber Discovery, un programa para encontrar la próxima generación de talentos en ciberseguridad

Imagen Tor El Departamento de Medios Digitales, Cultura, Medios de Comunicación y Deportes (DCMS) de Reino Unido acaba de lanzar su programa de capacitación en ciberseguridd dirigido a jóvenes que se encuentren entre los 10 y 13 años. La iniciativa tiene como objetivo ayudar a cerrar la brecha existente de habilidades en ciberseguridad del Reino Unido aprovechando el talento joven y no descubierto con la ambición de estimular y nutrir el interés por esta rama como una futura carrera profesional. Inicialmente, se invita a los estudiantes a registrarse y trabajar a través de una herramienta de selección llamada CyberStart Assess. Los estudiantes seleccionados pasarán a otras tres etapas que luego finalizarán con expertos de la industria, y tres eventos regionales con retos en vivo donde los padres y líderes pueden ver el progreso realizado por los estudiantes. Cyber ​​Discovery se está probando en el primer año en Inglaterra, pero se espera que se expanda a otras partes del Reino Unido durante los siguientes años.

Más información en Join Cyber Discovery

Alerta de Bitcoin Gold en su wallet para Windows

Imagen oso pardo Bitcoin Gold publicó el pasado domingo 26 de noviembre una alerta de seguridad advirtiendo que cualquiera que haya descargado el fichero que daba acceso al wallet para Windows entre el 21 de noviembre de 2017, las 09:39 UTC y el 25 de noviembre de 2017, a las 22:30 UTC, no debe usarse de ninguna manera. Cualquier usuario que llegara a utilizar dicho fichero debe tener en cuenta que debe usarse con extrema precaución, el archivo debe eliminarse, el equipo debe revisarse minuciosamente en busca de malware y confirmar que todas las criptodivisas se encuentran disponibles. De ser así, deben ser movidas hacia nuevas direcciones de inmediato.

Más información en Bitcoin Gold

Noticias del resto de la semana


Facebook ofrecerá una herramienta para luchar contra la propaganda rusa

Después de luchar contra determinados threat actores rusos para evitar la influencia a través de redes sociales durante las elecciones presidenciales de Estados Unidos, Facebook ha dicho que ofrecerá una herramienta que permitirá a los usuarios ver las páginas y anuncios creados por la Internet Research Agency (IRA) involucrados en operaciones de influencia en nombre de gobierno ruso.

Más información en SC Magazine

Firefox notificará a los usuarios que visiten aquellas webs que sufrieron una filtración

Firefox presentará una nueva feature de seguridad para que la experiencia de los usuarios sea más segura. En este sentido, advertirá a los usuarios si visitan sitios web que han sufrido violaciones de datos. La noticia fue hecha pública por el desarrollador de Mozilla Nihanth Subramany y fue confirmada por la presencia de un repositorio de GitHub recientemente publicado titulado "Breach Alerts Prototype". El desarrollador utilizará el proyecto Have I Been Pwned como fuente de información relacionada con brechas de seguridad.

Más información en GitHub

Google no permitirá que software de terceros inyecte código en Chrome

Para mejorar el rendimiento y reducir los bloqueos causados ​​por el software de terceros en Windows, Google Chrome, a mediados de 2018, ya no permitirá que las aplicaciones externas ejecuten código dentro de su navegador web. En este sentido, Google ya ha anunciado su plan, pero habrá algunas excepciones con el código firmado por Microsoft, el software de accesibilidad y el software IME para inyectar código en sus navegadores.

Más información en The Hacker News

Otras noticias


Millones de usuarios afectados por la brecha de seguridad de PayPal

Más información en The Hacker News

Minadores que siguen funcionando incluso después de cerrar el navegador

Más información en Security Affairs

Vulnerabilidad en el wallet CoinPouch para Verge

Más información en Security Affairs

Diferentes agentes de autenticación de RSA afectados por dos vulnerabilidades críticas

Más información en SecLists

No hay comentarios:

Publicar un comentario