Si tens una web, una botiga online o qualsevol aplicació a internet, l'OWASP Top 10 t'afecta directament — encara que mai hagis sentit aquest nom. En aquest article t'expliquem què és, què significa cada punt i, el més important, què pots fer al respecte sense ser desenvolupador.
Què és OWASP?
OWASP (Open Worldwide Application Security Project) és una fundació sense ànim de lucre que porta des de 2001 documentant els problemes de seguretat més greus en aplicacions web. El seu document més conegut és l'OWASP Top 10: una llista actualitzada amb les deu categories de vulnerabilitats més crítiques i més freqüents en webs reals.
No és una llista teòrica. Està elaborada a partir de dades reals de milers d'aplicacions analitzades a tot el món. Quan un auditor de seguretat revisa la teva web, l'OWASP Top 10 és el seu punt de partida obligatori.
Les 10 vulnerabilitats, explicades sense tecnicismes
La teva web no controla correctament qui pot veure què. Un usuari normal podria accedir a dades d'altres clients, al panell d'administració o a arxius privats simplement canviant un número a la URL.
Dades sensibles (contrasenyes, targetes, dades personals) emmagatzemades o transmeses sense xifratge adequat. Inclou webs sense HTTPS, contrasenyes guardades en text pla o bases de dades sense protecció.
El servidor executa codi maliciós perquè no ha netejat les dades enviades per l'usuari. La injecció SQL pot donar accés total a la base de dades.
La seguretat no es va tenir en compte durant el disseny de l'aplicació. No és un bug concret: és una arquitectura que facilita els atacs perquè mai es va pensar a protegir-se.
Panells d'administració exposats, missatges d'error amb informació tècnica visible, permisos incorrectes, serveis innecessaris actius. És la més comuna en webs de petites i mitjanes empreses.
WordPress, plugins, llibreries JavaScript, frameworks... Si no s'actualitzen, tenen vulnerabilitats conegudes i documentades que qualsevol pot explotar amb eines automàtiques.
Contrasenyes febles permeses, sense límit d'intents de login, sessions que no caduquen, tokens predictibles. Facilita que algú prengui el control de comptes d'usuari o del panell d'administració.
El programari carrega recursos externs (scripts, llibreries) sense verificar que no han estat modificats. Un atacant podria injectar codi maliciós en una llibreria externa que la teva web usa.
La teva web no registra qui accedeix a què ni detecta comportaments anòmals. Si pateixes un atac, no tindràs manera de saber què va passar, quan ni quines dades es van comprometre.
La teva web fa peticions a URLs externes basant-se en dades de l'usuari, sense filtrar-les. Un atacant pot usar-ho per accedir a sistemes interns, metadades de cloud o serveis que no haurien de ser accessibles.
Què puc fer com a responsable d'empresa?
No necessites ser tècnic per prendre decisions correctes sobre la seguretat de la teva web. Aquestes són les accions més importants:
- Exigeix al teu desenvolupador o agència que segueixin les pautes OWASP durant el desenvolupament, no només al final.
- Contracta una auditoria de seguretat web abans de llançar qualsevol projecte crític o quan porti més d'un any sense revisar-se.
- Assegura't que la teva web té HTTPS en totes les pàgines, no només al checkout.
- Mantingues actualitzat el teu CMS (WordPress, Prestashop...) i tots els seus plugins. Cada actualització corregeix vulnerabilitats.
- Activa l'autenticació en dos passos (2FA) en tots els panells d'administració.
Vols saber si la teva web té alguna d'aquestes vulnerabilitats?
Realitzem auditories web amb metodologia OWASP. Informe executiu i tècnic, amb passos exactes de remediació.
Veure auditoria web →