OWASP Testing Guide 3.0 en Español
Se encuentra disponible la versión número 3 de la Guía de Testing OWASP.
El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:
El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.
El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:
- El alcance de qué se debe probar
- Principios del testing
- Explicación de las técnicas de pruebas
- Explicación del marco de pruebas del OWASP
En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.
Fragmento del contenido temático:
- Pruebas de intrusión de aplicaciones Web
- Spiders, Robots, y Crawlers
- Pruebas de firma digital de aplicaciones web
- Analisis de codigos de error
- Pruebas de SSL/TLS
- Pruebas del receptor de escucha de la BBDD
- Archivos antiguos, copias de seguridad y sin referencias
- Metodos http y XST
- Comprobación del sistema de autenticación
- Transmision de credenciales a traves de un canal cifrado
- Enumeracion de Usuarios
- Cuentas de usuario adivinables (diccionario) O por defecto
- Fuerza bruta
- Saltarse el sistema de autenticación
- Pruebas de gestión del caché de navegación y de salida de sesión
- Pruebas de Captcha
- Pruebas para atributos de cookies
- Pruebas para CSRF
- Pruebas de ruta transversal
- Pruebas de escalada de privilegios
- Pruebas de cross site scripting Reflejado
- Inyeccion SQL
- Inyeccion XML
- Pruebas de desbordamiento de búfer
- Pruebas de HTTP Splitting/Smuggling
- Pruebas de denegación de servicio
Más Información:
En el mes de Septiembre del año 2014 se lanzó la última guía llamada "OWASP Testing Guide v4" la tenemos en exclusiva para ti en ESPAÑOL, puedes descargarla haciendo click aqui.
Articulo escrito por David Moreno (4v4t4r) para La Comunidad DragonJAR