El objetivo de la prueba de seguridad OTG-ERR-002 es determinar si es posible inferir la lógica de procesos y otras interioridades de nuestras aplicaciones web producto de una mala gestión de la pila de mensajes de excepciones que pueden desencadenarse bajo ciertas operaciones. Normalmente esto es utilizado por los desarrolladores para conocer cómo responden los componentes de la aplicación web durante la codificación del producto de software, sin embargo, en la fase de producción, esto constituye una mala práctica que puede comprometer los requisitos de seguridad.
Para realizar esta prueba de seguridad, bajo un enfoque de Caja Negra, se deben aplicar las siguientes técnicas:
- Introducir datos que no correspondan a la lógica de la aplicación web.
- Dejar campos vacíos.
- Introducir caracteres no alfanumérico y sintaxis de consultas.
- Entradas de datos extremadamente grandes.
- Acceder a páginas internas sin autenticarse.
- Saltarse el flujo de proceso de la aplicación web.
Es importante destacar que la pila de mensajes de excepciones puede reflejarse en la página web que visualiza el usuario, el cuerpo de la respuesta HTTP de la aplicación web, la respuesta de un servicio SOAP, REST, RPC o cualquier combinación de estos y otros mecanismos de interacción cliente-servidor.
Si es posible realizar una prueba de Caja Blanca o Gris a la aplicación web, se debe buscar aquellos comandos que puedan mandar a imprimir los mensajes en el código fuente, para ello, por supuesto, se debe consultar primero la información sobre cómo es tratado este tema en el lenguaje de programación específico en la que esté programada la aplicación web.
Hasta aquí la explicación de la prueba de seguridad OTG-ERR-002, que propone OWASP. Espero que te haya sido útil este post y si tienes alguna sugerencia sobre este tema deja tu comentario debajo que será muy bien recibido.
Behique Digital 
Si puede ayudar a corregir los problemas de seguridad
Me gustaLe gusta a 1 persona
Considerando que el objetivo de esta prueba es determinar si es posible inferir la lógica de procesos el metodo de Caja Negra con las tecnicas descritas lo unico que comprobarian seria su validez de uso para cada usuario, pero no veo respuesta a posibles ataques de interferencia o hackeos que impidan la continuidad de procesos.
Me gustaLe gusta a 1 persona
Si, es posible que las pruebas sean necesarias para gestionar y solucionar una cadena de excepciones que ralentizen el proceso de inferencia.
Me gustaLe gusta a 1 persona
Muchas gracias Ariel por tu comentario.
Me gustaMe gusta
Muchas gracias Yannier por tu comentario.
Me gustaMe gusta
Si, ya que las pruebas funcionales permiten comprobar
si el software cumple las funciones esperadas.
Me gustaLe gusta a 1 persona
si puede ayudar ya que son pruebas específicas, concretas y exhaustivas para comprobar que el software hace lo que se debe y cumpla con los requisitos
Me gustaLe gusta a 1 persona
Sí, considero que sirva bastante de ayuda ya asi se comprueba alguna falla en el hardware o software del mecanismo q le hagamos la prueba
Me gustaLe gusta a 1 persona
Muchas gracias Yoanderley por tu comentario.
Me gustaMe gusta