OWASP Testing Guide 3.0 en Español
Se encuentra disponible la versión número 3 de la Guía de Testing OWASP.
El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:
El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.
El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:
Fragmento del contenido temático:
El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:
El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.
El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:
- El alcance de qué se debe probar
- Principios del testing
- Explicación de las técnicas de pruebas
- Explicación del marco de pruebas del OWASP
Fragmento del contenido temático:
- Pruebas de intrusión de aplicaciones Web
- Spiders, Robots, y Crawlers
- Pruebas de firma digital de aplicaciones web
- Analisis de codigos de error
- Pruebas de SSL/TLS
- Pruebas del receptor de escucha de la BBDD
- Archivos antiguos, copias de seguridad y sin referencias
- Metodos http y XST
- Comprobación del sistema de autenticación
- Transmision de credenciales a traves de un canal cifrado
- Enumeracion de Usuarios
- Cuentas de usuario adivinables (diccionario) O por defecto
- Fuerza bruta
- Saltarse el sistema de autenticación
- Pruebas de gestión del caché de navegación y de salida de sesión
- Pruebas de Captcha
- Pruebas para atributos de cookies
- Pruebas para CSRF
- Pruebas de ruta transversal
- Pruebas de escalada de privilegios
- Pruebas de cross site scripting Reflejado
- Inyeccion SQL
- Inyeccion XML
- Pruebas de desbordamiento de búfer
- Pruebas de HTTP Splitting/Smuggling
- Pruebas de denegación de servicio
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!