OWASP Testing Guide 3.0 en Español

Publicado: julio 15, 2009 de komz en 05.Seg INFORMATICA, 13.Herramientas
Etiquetas:, ,

Se encuentra disponible la versión número 3 de la Guía de Testing OWASP.

El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.

Corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:

El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.

El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:

  1. El alcance de qué se debe probar
  2. Principios del testing
  3. Explicación de las técnicas de pruebas
  4. Explicación del marco de pruebas del OWASP

En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.

  • * Pruebas de intrusión de aplicaciones Web
    * Spiders, Robots, y Crawlers
    * Pruebas de firma digital de aplicaciones web
    * Analisis de codigos de error
    * Pruebas de SSL/TLS
    * Pruebas del receptor de escucha de la BBDD
    * Archivos antiguos, copias de seguridad y sin referencias
    * Metodos http y XST
    * Comprobación del sistema de autenticación
    * Transmision de credenciales a traves de un canal cifrado
    * Enumeracion de Usuarios
    * Cuentas de usuario adivinables (diccionario) O por defecto
    * Fuerza bruta
    * Saltarse el sistema de autenticación
    * Pruebas de gestión del caché de navegación y de salida de sesión
    * Pruebas de Captcha
    * Pruebas para atributos de cookies
    * Pruebas para CSRF
    * Pruebas de ruta transversal
    * Pruebas de escalada de privilegios
    * Pruebas de cross site scripting Reflejado
    * Inyeccion SQL
    * Inyeccion XML
    * Pruebas de desbordamiento de búfer
    * Pruebas de HTTP Splitting/Smuggling
    * Pruebas de denegación de servicio

DESCARGAR GUIA [INGLES] / [ESPAÑOL]

fuente: dragonjar.org

owasp

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s