LUK
14-07-2009, 18:04
Se encuentra disponible la versión número 3 de la Guía de Testing OWASP.
El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web.
Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
http://img232.imageshack.us/img232/3831/owasplogo1.jpg
Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:
El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.
El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:
El alcance de qué se debe probar
Principios del testing
Explicación de las técnicas de pruebas
Explicación del marco de pruebas del OWASP
En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.
Fragmento del contenido temático:
Pruebas de intrusión de aplicaciones Web
Spiders, Robots, y Crawlers
Pruebas de firma digital de aplicaciones web
Analisis de codigos de error
Pruebas de SSL/TLS
Pruebas del receptor de escucha de la BBDD
Archivos antiguos, copias de seguridad y sin referencias
Metodos http y XST
Comprobación del sistema de autenticación
Transmision de credenciales a traves de un canal cifrado
Enumeracion de Usuarios
Cuentas de usuario adivinables (diccionario) O por defecto
Fuerza bruta
Saltarse el sistema de autenticación
Pruebas de gestión del caché de navegación y de salida de sesión
Pruebas de Captcha
Pruebas para atributos de cookies
Pruebas para CSRF
Pruebas de ruta transversal
Pruebas de escalada de privilegios
Pruebas de cross site scripting Reflejado
Inyeccion SQL
Inyeccion XML
Pruebas de desbordamiento de búfer
Pruebas de HTTP Splitting/Smuggling
Pruebas de denegación de servicio
Enlaces:
Más información (Web oficial del proyecto OWASP) (http://www.owasp.org/index.php/Category:OWASP_Testing_Project)
Descargar Guía de pruebas OWASP 3.0 (http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf)
Fuente (http://www.dragonjar.org/owasp-testing-guide-3-0-en-espanol.xhtml)
El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web.
Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.
http://img232.imageshack.us/img232/3831/owasplogo1.jpg
Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:
El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.
El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:
El alcance de qué se debe probar
Principios del testing
Explicación de las técnicas de pruebas
Explicación del marco de pruebas del OWASP
En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.
Fragmento del contenido temático:
Pruebas de intrusión de aplicaciones Web
Spiders, Robots, y Crawlers
Pruebas de firma digital de aplicaciones web
Analisis de codigos de error
Pruebas de SSL/TLS
Pruebas del receptor de escucha de la BBDD
Archivos antiguos, copias de seguridad y sin referencias
Metodos http y XST
Comprobación del sistema de autenticación
Transmision de credenciales a traves de un canal cifrado
Enumeracion de Usuarios
Cuentas de usuario adivinables (diccionario) O por defecto
Fuerza bruta
Saltarse el sistema de autenticación
Pruebas de gestión del caché de navegación y de salida de sesión
Pruebas de Captcha
Pruebas para atributos de cookies
Pruebas para CSRF
Pruebas de ruta transversal
Pruebas de escalada de privilegios
Pruebas de cross site scripting Reflejado
Inyeccion SQL
Inyeccion XML
Pruebas de desbordamiento de búfer
Pruebas de HTTP Splitting/Smuggling
Pruebas de denegación de servicio
Enlaces:
Más información (Web oficial del proyecto OWASP) (http://www.owasp.org/index.php/Category:OWASP_Testing_Project)
Descargar Guía de pruebas OWASP 3.0 (http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf)
Fuente (http://www.dragonjar.org/owasp-testing-guide-3-0-en-espanol.xhtml)