OWASP Testing Guide 3.0 en Español

Se encuentra disponible la versión número 3 de la Guía de Testing OWASP.

owasp

El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.

Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:

El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.

El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:

  • El alcance de qué se debe probar
  • Principios del testing
  • Explicación de las técnicas de pruebas
  • Explicación del marco de pruebas del OWASP

En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.

Fragmento del contenido temático:

  • Pruebas de intrusión de aplicaciones Web
  • Spiders, Robots, y Crawlers
  • Pruebas de firma digital de aplicaciones web
  • Analisis de codigos de error
  • Pruebas de SSL/TLS
  • Pruebas del receptor de escucha de la BBDD
  • Archivos antiguos, copias de seguridad y sin referencias
  • Metodos http y XST
  • Comprobación del sistema de autenticación
  • Transmision de credenciales a traves de un canal cifrado
  • Enumeracion de Usuarios
  • Cuentas de usuario adivinables (diccionario) O por defecto
  • Fuerza bruta
  • Saltarse el sistema de autenticación
  • Pruebas de gestión del caché de navegación y de salida de sesión
  • Pruebas de Captcha
  • Pruebas para atributos de cookies
  • Pruebas para CSRF
  • Pruebas de ruta transversal
  • Pruebas de escalada de privilegios
  • Pruebas de cross site scripting Reflejado
  • Inyeccion SQL
  • Inyeccion XML
  • Pruebas de desbordamiento de búfer
  • Pruebas de HTTP Splitting/Smuggling

Pruebas de denegación de servicio

Articulo escrito por David Moreno (4v4t4r) para La Comunidad DragonJAR


Autor: Colaborador

La cuenta colaborar agrupa a todas las personas que des interesadamente han colaborado añadiendo contenidos de seguridad informática a La Comunidad DragonJAR y ayudando a la difundir más estas temáticas en nuestro idioma. si deseas ser un colaborador envía un mail a contacto (arroba) dragonjar.org y manda tu material.

Compartir este Artículo
  • HGR

    Muy buena información. Gracias 4v4t4r.

  • Joe

    Gracias por tenernos al dia. Esta informacion me sera de mucha utilidad en el trabajo.

  • dharman

    Gracias 4v4t4r,

    Ahora tengo una idea mas clara de lo que es OWASP y me doy de lo importante del tema, debido a la tendencia que se tiene con las aplicaciones Web

    Arigato.

  • gracias por la info

  • Diego Luna

    Excelente articulo!!!!

  • Pingback: ¿Cómo se realiza un Pentest?()

  • Jorge Vega

    Saludos, intente descargar la guía pero no lo logré, podrán facilitarme alguna nueva ruta. Gracias

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES