17 sep. 2014

Publicada Guía del Desarrollador OWASP v4


Para los que trabajamos asegurando aplicaciones web, sin dudas esta es una excelente noticia que traerá beneficios a todos los sitios web: Mateo Mucci, uno de los líderes del proyecto ha anunciado la nueva OWASP Developer Guide 2014.

Esta una obra reescrita en su totalidad a partir de uno de los primeros proyectos de OWASP y también uno de los más descargados. El enfoque se movió desde las contramedidas y debilidades hacia la ingeniería de software seguro. La primera guía del desarrollador de OWASP fue publicada en 2002, cuando todavía se usaba Internet Explorer y, desde entonces la web ha recorrido un largo camino. Por desgracia, la guía del desarrollador nunca realmente despegó en su público objetivo: los desarrolladores. La guía original trataba de cómo realizar pruebas de penetración de aplicaciones web, material que ahora está mejor cubierto en la Guía de Pruebas de OWASP.

La nueva guía del desarrollador 2014 es un libro sobre los "primeros principios" y no está específicamente orientado a un lenguaje de programación aunque sí hay temas muy específicos sobre diferentes lenguajes, tales como opciones de configuración o sobre cómo aplicar los principios básicos de seguridad sobre sistemas y aplicaciones.

Como principales novedades, además de la reorganización de categorías y subcategorías de algunas pruebas, se ha puesto especial hincapié en los siguientes puntos:
Además, se ha modificado y mejorado el contenido de los puntos de control habituales, haciendo un total de 87 puntos de control (frente a los 64 de la versión anterior). Se ha incluido información con referencias a otros proyectos importantes de OWASP, como son las guías de programación segura y para desarrolladores. Para esta versión 4 de la guía, encontraremos las siguientes categorías (en inglés):
  1. Information Gathering (OTG-INFO)
  2. Configuration and Deployment Management Testing (OTG-CONFIG)
  3. Identity Management Testing (OTG-IDENT)
  4. Authentication Testing (OTG-AUTHN)
  5. Authorization Testing (OTG-AUTHZ)
  6. Session Management Testing (OTG-SESS)
  7. Input Validation Testing (OTG-INPVAL)
  8. Testing for Error Handling (OTG-ERR)
  9. Testing for weak Cryptography (OTG-CRYPST)
  10. Business Logic Testing (OTG-BUSLOGIC)
  11. Client Side Testing (OTG-CLIENT)
Cabe destacar la gran revisión que se la ha dado a la categoría "Business Logic" (Lógica de negocio), que ha pasado de tener una única subcategoría general en la versión 3 a 9 subcategorías en la versión 4. La re-factorición del material original de la Developer Guide v2.0, lanzado en julio de 2005, permite enfocarse en las aplicaciones del mundo y de las aplicaciones web modernas que utilizan AJAX, API RESTful y conectividad móvil. Todo el material (sobrante) sobre la realización de pruebas se moverá a la OWASP Testing Guide y todo material de revisión de código a la OWASP Code Review Guide.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!