Open Web Application Security Project (OWASP) dio a conocer la lista de las 10 vulnerabilidades críticas de aplicaciones web en 2004, según publicó eSecurityPlanet.com.
Los diez fallos destacados por OWASP en el referido listado son:

- Entradas no validadas. En la práctica, los atacantes pueden emplear información no validada para alcanzar componentes secundarios.

- Fallos en el control de acceso. Debido a que no se establecen las adecuadas restricciones en la autenticación de usuarios, los agresores pueden tener acceso a otras cuentas o acceder a funciones no autorizadas.

- Fallos en administración de sesiones y autenticación. Credenciales de cuentas y tokens de sesión no están protegidos adecuadamente, lo que puede permitir que los atacantes comprometan contraseñas, llaves, cookies de sesión, y que asuman la identidad de otros usuarios.

- Cross Site Scripting. En este caso, la aplicación web se emplea como mecanismo para realizar ataques contra el navegador de los usuarios finales, lo que puede posibilitar que queden al descubierto cookies de sesión, o que se utilice contenido falso para engañar al usuario.

- Desbordamientos de buffer. Componentes de la aplicación web escritos en lenguajes que no realicen una validación de datos de entrada adecuada pueden fallar y, en algunos casos, permitir tomar el control de un proceso.

- Fallos de inyección. Las aplicaciones web pasan parámetros cuando acceden al sistema externo o al sistema operativo. Si en los parámetros se incluyen comandos maliciosos, el sistema externo puede ejecutarlos en nombre de la aplicación web.

- Gestión incorrecta de errores, que puede ser empleada por los atacantes para obtener información detallada del sistema o provocar denegaciones de servicio.

- Almacenamiento inseguro. Se demostró que las aplicaciones web que utilizan funciones criptográficas para proteger la información y las credenciales no cifran adecuadamente, lo que da como resultado una protección débil.

- Denegación de servicio. Como se mencionó anteriormente, los atacantes pueden consumir recursos de la aplicación web hasta conseguir que los usuarios legítimos no puedan acceder a ella. A su vez, los agresores podrán bloquear las cuentas de usuarios o provocar la caída de la aplicación.

- Configuración insegura. Tener un estándar de configuración fuerte es crítico.


http://www.esecurityplanet.com/trends/article.php/3305981