Analysis of Stack Traces (OTG-ERR-002)

El objetivo de la prueba de seguridad OTG-ERR-002 es determinar si es posible inferir la lógica de procesos y otras interioridades de nuestras aplicaciones web producto de una mala gestión de la pila de mensajes de excepciones que pueden desencadenarse bajo ciertas operaciones. Normalmente esto es utilizado por los desarrolladores para conocer cómo responden los componentes de la aplicación web durante la codificación del producto de software, sin embargo, en la fase de producción, esto constituye una mala práctica que puede comprometer los requisitos de seguridad.

Para realizar esta prueba de seguridad, bajo un enfoque de Caja Negra, se deben aplicar las siguientes técnicas:

  • Introducir datos que no correspondan a la lógica de la aplicación web.
  • Dejar campos vacíos.
  • Introducir caracteres no alfanumérico y sintaxis de consultas.
  • Entradas de datos extremadamente grandes.
  • Acceder a páginas internas sin autenticarse.
  • Saltarse el flujo de proceso de la aplicación web.

Es importante destacar que la pila de mensajes de excepciones puede reflejarse en la página web que visualiza el usuario, el cuerpo de la respuesta HTTP de la aplicación web, la respuesta de un servicio SOAP, REST, RPC o cualquier combinación de estos y otros mecanismos de interacción cliente-servidor.

Si es posible realizar una prueba de Caja Blanca o Gris a la aplicación web, se debe buscar aquellos comandos que puedan mandar a imprimir los mensajes en el código fuente, para ello, por supuesto, se debe consultar primero la información sobre cómo es tratado este tema en el lenguaje de programación específico en la que esté programada la aplicación web.

Hasta aquí la explicación de la prueba de seguridad OTG-ERR-002, que propone OWASP. Espero que te haya sido útil este post y si tienes alguna sugerencia sobre este tema deja tu comentario debajo que será muy bien recibido.

Anuncios

9 comentarios en “Analysis of Stack Traces (OTG-ERR-002)

  1. Considerando que el objetivo de esta prueba es determinar si es posible inferir la lógica de procesos el metodo de Caja Negra con las tecnicas descritas lo unico que comprobarian seria su validez de uso para cada usuario, pero no veo respuesta a posibles ataques de interferencia o hackeos que impidan la continuidad de procesos.

    Le gusta a 1 persona

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s