Blog

Técnicas de testeo de la OWASP Testing Guide
Publicado por Florencio Cano
09/02/2011

Técnicas de testeo

Durante la auditoría de la seguridad de una aplicación web pueden emplearse distintas técnicas. Cada una de las técnicas expuestas se utiliza en un contexto determinado y con un objetivo. Es importante comprender las razones de su uso y utilizarlas eficientemente.

Inspección manual / Entrevistas

La seguridad de la información tiene mucho que ver con las personas. En una entrevista, simplemente realizando la pregunta adecuada, pueden desvelarse problemas de seguridad en una aplicación.
La inspección ocular o manual de los diagramas, flujos de datos, sistemas de información desplegados para el desarrollo y demás elementos de un ciclo de desarrollo de software también nos pueden dar pistas interesantes de la seguridad.

Modelado de amenazas

El modelado de amenazas es como el análisis de riesgos pero aplicado al software. El modelado de amenazas consiste en:

  1. Identificar los componentes de la aplicación
  2. Identificar los activos de información de la aplicación
  3. Identificar amenazas y vulnerabilidades
  4. Evaluar la probabilidad de materialización de dichas amenazas y su impacto (riesgo)
  5. Desarrollar estrategias para mitigar los riesgos identificados
    La norma NIST 800-30 desarrolla más el modelado de amenazas.

Revisión del código fuente

Revisar el código fuente es en ocasiones la única manera factible de identificar determinadas vulnerabilidades. Un equipo experto puede analizar el código fuente con bastante fiabilidad.

Test de intrusión

El test de intrusión en OWASP se asocia al análisis de seguridad de tipo “caja negra” donde el equipo que realiza el análisis no dispone de información inicial acerca de la aplicación. El analista utilizará las mismas técnicas que un atacante real para recabar información e identificar vulnerabilidades.

Comentarios (0)


Deja tu comentario

Nombre: *
Email: * (No saldrá publicado)
Website:
Comentario: *
simple_captcha.jpg
(Escribe el código en la casilla)

Su comentario será autorizado por el autor del post antes de publicarse.

En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), SEGURIDAD INFORMATICA Y HACKING ETICO, S.L. es responsable y único destinatario de los datos de carácter personal que nos proporcione al rellenar este formulario, que serán tratados únicamente con la finalidad de atender su solicitud o comentario. Pulsando el botón de 'Enviar' usted consiente el tratamiento de sus datos para estos fines, pudiendo acceder a sus datos, rectificarlos, cancelarlos u oponerse a su tratamiento en los términos y en las condiciones previstas en la LOPD, dirigiéndose a nosotros a través del formulario de contacto.