Initial-Proposal.md

@@ -27,3 +27,30 @@ Desde el principio se decidió que la mejor forma de definir el temario sería b
 
 De este modo se asegura no sólo que se tocan los temas de mayor importancia sino también que el usuario de la plataforma adquiera conocimiento acerca de los problemas más importantes desde el principio. Si el mismo decidiera abandonar el uso de la plataforma sin haber terminado todo el temario de todos modos se puede asegurar que puede llevarse algo de importancia de la experiencia.
 
+Se consideraron varias listas de tipos de vulnerabilidades/ataques, por ejemplo:
+
+* [Symantec - Five common Web application vulnerabilities](http://www.symantec.com/connect/articles/five-common-web-application-vulnerabilities)
+* [2011 CWE/SANS Top 25 Most Dangerous Software Errors](https://cwe.mitre.org/top25/index.html#Listing)
+* [The WASC Threat Classification v2.0](http://projects.webappsec.org/w/page/13246978/Threat%20Classification)
+
+Sin embargo se decidió seguir el [OWASP Top 10](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) no sólo porque es uno de los intentos más exitosos de categorizar las amenazas a las aplicaciones web, sino que es la única lista que está bajo activa mejora (una nueva versión está en vistas para lanzarse a finales de 2016 o principios de 2017).
+
+La lista balancea distintos criterios para ordenar las vulnerabilidades, como:
+
+* Qué tan común es una vulnerabilidad
+* Qué tan fácil de explotar es dicha vulnerabilidad
+* Cuánto daño se puede realizar explotando dicha vulnerabilidad  
+
+Es así que la lista de temas sería la siguiente:
+
+1. Inyección.
+2. Problemas de Autenticación y Manejo de Sesiones.
+3. Cross-Site Scripting.
+4. Referencias Directas a Objetos Inseguras.
+5. Mala Configuración de Seguridad.
+6. Exposición de Datos Sensibles.
+7. Falta de Control de Nivel de Acceso.
+8. Cross-Site Request Forgery.
+9. Uso de Componentes con Vulnerabilidades Conocidas.
+10. Redirecciones y Forwardeos no Validados.
+