Blog

Controles de la OWASP Testing Guide
Publicado por Florencio Cano
11/02/2011

La OWASP Testing Guide versión 3 describe 66 controles de seguridad repartidos en 10 categorías. La versión 4 estaba planificada para mediados de enero pero ahora se plantea como fecha septiembre de 2011.

Las 10 categorías de los controles son:

  • Recopilación de información

Controles para recabar información sobre la aplicación. Software, backend, versiones, puntos de entrada, etc.

  • Pruebas de gestión de la configuración

Pruebas sobre el backend de administración y configuración de la aplicación web.

  • Pruebas de autenticación

Pruebas sobre el proceso de identificación de usuarios en la web.

  • Gestión de sesiones

Se prueba si la gestión de la sesión de cada usuario es segura o un atacante podría acceder a sesiones de otros usuarios.

  • Pruebas de autorización

Se prueba que el mecanismo que autoriza a un usuario el acceso a determinadas partes de la aplicación funciona correctamente.

  • Pruebas de lógica de negocio

Se analiza si la aplicación cumple con los requerimientos de negocio de la misma. Son vulnerabilidades que típicamente no puede identificar un escáner de vulnerabilidades automático porque están relacionadas con la semántica de las acciones que se realizan.

  • Pruebas de validación de datos

Los clásicos problemas de seguridad en las aplicaciones web se analizan en este apartado, especialmente el gran grupo de vulnerabilidades de inyección de código (SQL, XPath, PHP, HTML…)

  • Pruebas de denegación de servicio

Se comprueba que la aplicación está suficientemente protegida contra ataques que tengan por objetivo colapsar los recursos de la aplicación web o el servidor.

  • Pruebas de servicios web

Pruebas relacionadas con servicios web, XML, aplicaciones RESTFUL entre otros.

  • Pruebas Ajax

Ajax no introduce muchas vulnerabilidades nuevas, pero frecuentemente los programadores relajan la seguridad cuando se trata de Ajax. Vulnerabilidades que no existen en otros puntos de la web aparecen cuando se hace uso de Ajax.

La OWASP Testing Guide no está pensada para utilizarse como checklist, a pesar de este listado de controles de seguridad. El objetivo es que cada organización defina su propio procedimiento de testeo haciendo uso del marco que ofrece. La guía se mantiene vigente y en la próxima actualización se van a introducir controles sobre vulnerabilidades nuevas que han surgido desde la última versión publicada.
OWASP invita a todas las personas interesadas en seguridad informática que intenten participar en este proyecto y lo divulguen.

Comentarios (0)


Deja tu comentario

Nombre: *
Email: * (No saldrá publicado)
Website:
Comentario: *
simple_captcha.jpg
(Escribe el código en la casilla)

Su comentario será autorizado por el autor del post antes de publicarse.

En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), SEGURIDAD INFORMATICA Y HACKING ETICO, S.L. es responsable y único destinatario de los datos de carácter personal que nos proporcione al rellenar este formulario, que serán tratados únicamente con la finalidad de atender su solicitud o comentario. Pulsando el botón de 'Enviar' usted consiente el tratamiento de sus datos para estos fines, pudiendo acceder a sus datos, rectificarlos, cancelarlos u oponerse a su tratamiento en los términos y en las condiciones previstas en la LOPD, dirigiéndose a nosotros a través del formulario de contacto.