OWASP Testing Guide 3.0 en Español Publicada por 4v4t4r en Documentacion, Seguridad Web .
Se encuentra disponible la versión número 3 de la Guía de Testing OWASP.
El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:
El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.
El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:
- El alcance de qué se debe probar
- Principios del testing
- Explicación de las técnicas de pruebas
- Explicación del marco de pruebas del OWASP
En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.
Fragmento del contenido temático:
- Pruebas de intrusión de aplicaciones Web
- Spiders, Robots, y Crawlers
- Pruebas de firma digital de aplicaciones web
- Analisis de codigos de error
- Pruebas de SSL/TLS
- Pruebas del receptor de escucha de la BBDD
- Archivos antiguos, copias de seguridad y sin referencias
- Metodos http y XST
- Comprobación del sistema de autenticación
- Transmision de credenciales a traves de un canal cifrado
- Enumeracion de Usuarios
- Cuentas de usuario adivinables (diccionario) O por defecto
- Fuerza bruta
- Saltarse el sistema de autenticación
- Pruebas de gestión del caché de navegación y de salida de sesión
- Pruebas de Captcha
- Pruebas para atributos de cookies
- Pruebas para CSRF
- Pruebas de ruta transversal
- Pruebas de escalada de privilegios
- Pruebas de cross site scripting Reflejado
- Inyeccion SQL
- Inyeccion XML
- Pruebas de desbordamiento de búfer
- Pruebas de HTTP Splitting/Smuggling
- Pruebas de denegación de servicio
Más información (Web oficial del proyecto OWASP)
Descargar Guía de pruebas OWASP (OWASP Testing Guide 3.0) (Password: www.dragonjar.org)
c1b3rh4ck
kradjc (kR@d)
alex
d3m4s1@d0v1v0
Luis
4v4t4r (4v4t4r)
Alejandro Ramos
belial9826
CapLinux
carlos
Julio 14th, 2009 at 9:39 AM
Muy buena información. Gracias 4v4t4r.
Julio 14th, 2009 at 11:41 AM
Gracias por tenernos al dia. Esta informacion me sera de mucha utilidad en el trabajo.
Julio 14th, 2009 at 7:50 PM
Gracias 4v4t4r,
Ahora tengo una idea mas clara de lo que es OWASP y me doy de lo importante del tema, debido a la tendencia que se tiene con las aplicaciones Web
Arigato.
Julio 15th, 2009 at 1:00 PM
gracias por la info