El diseño inseguro es una categoría por sí misma. Se diferencia de la mayoría de las clases de vulnerabilidades en el ranking de las 10 principales. Esto se debe a que, en lugar de ser un defecto específico que resulta en una vulnerabilidad explotable, se refiere al origen del ciclo de desarrollo de la aplicación en sí.
Es parte integral de la fase de diseño y arquitectura, incluso antes de escribir el código. Las decisiones equivocadas durante la fase inicial de un proyecto pueden tener consecuencias duraderas y potencialmente graves que conducen a fallos funcionales, compromisos y más.
Sin embargo, un diseño inseguro no debe entenderse como la única causa de todas las vulnerabilidades de desarrollo, ya que las vulnerabilidades derivan de elecciones tanto de diseño como de implementación. Las vulnerabilidades de diseño más comunes incluyen la falta de controles de validación de entrada, la divulgación de información sensible y la ausencia de niveles de comunicación seguros.
| OWASP Top 10 Application Security Risks - 2021 | Referencia |
|---|---|
| A04:2021-Insecure Design | OWASP |
Al inicio de cada proyecto de desarrollo, se toman decisiones de diseño que, si son erróneas, tienen un impacto negativo en la seguridad (disponibilidad, cumplimiento de políticas/mejores prácticas, divulgación de información e incluso compromiso total).Francesco Ongaro
