Guía de Pruebas de OWASP 4.0

La Guía de Pruebas de OWASP (OWASP Testing Guide) versión 4, fue publicada en el año 2014. Es un esfuerzo del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) por recopilar y estructurar todas las posibles pruebas de seguridad enfocadas en las aplicaciones web. esta dividida en 11 fases y más de 100 pruebas de seguridad:

  • Recopilación de Información: Búsqueda de información en los motores de búsqueda de Internet, descubrimiento de tecnología por su marca digital, análisis de archivos, rutas, comentarios, robots.txt. Identificación de puntos de entradas y representación de su arquitectura.
  • Pruebas de Seguridad a la configuración y despliegue: El objetivo de esta fase es recopilar información sobre sobre la infraestructura de despliegue, incluyendo aspectos relacionados directamente con la aplicación web. Incluye el análisis de la configuración de la infraestructura, descubrimiento de información mediante la manipulación de extensiones. Análisis de paneles de administración, métodos HTTP, revisión de las políticas de conexión seguras, etc.
  • Pruebas de Seguridad a la gestión de la identidad: Durante esta fase se realizan las pruebas de seguridad asociadas a la gestión de credenciales de los usuarios. Se incluyen análisis de la definición de roles, comprobación del proceso de registro del usuario, revisión de los mecanismos de aprovisionamiento de usuarios, estudio de los métodos presentes que facilitan la enumeración de usuarios, análisis de las políticas de reforzamiento de contraseñas, descubrimientos de credenciales de pruebas, mecanismos de suspensión y habilitación de credenciales.
  • Pruebas de Seguridad al proceso de autenticación: En esta fase se ejecutan pruebas de seguridad para evaluar el proceso de autenticación. Dentro de las pruebas de seguridad propuestas se encuentra el análisis para determinar si las credenciales son transmitidas sobre un canal encriptado, identificación de credenciales por defecto, comprobación de los mecanismos de bloqueo de credenciales. También se incluye las pruebas de fortalezas de los sistemas de preguntas y respuestas, cambio y reinicio de contraseñas, políticas de creación de contraseñas y descubrimiento de mecanismos de autenticación.
  • Pruebas de seguridad al proceso de autorización: El objetivo de la fase es comprobar si es posible evadir el sistema de autorización. Dentro de las vulnerabilidades más frecuentes que deben ser comprobadas se incluye el directorio transversal, la escalada de privilegios y la referencia directa insegura a objetos.
  • Pruebas de seguridad al proceso de gestión de sesiones: La gestión de sesiones es un componente fundamental en las aplicaciones web debido a las limitantes del protocolo HTTP. Por ese motivo, las pruebas de seguridad están orientadas, entre cosas cosas, a determinar si es posible evadir el mecanismo de gestión de sesiones, si están presentes los atributos adecuados en las cookies. Si la aplicación web es vulnerable a un ataque de fijación de sesiones, si se exponen las variables de sesión o si no tiene protección ante un ataque de CSRF (Cross Site Request Forgery).
  • Pruebas de seguridad a la validación de entradas: Esta es la fase más extensa de pruebas debido a que incluye pruebas de seguridad a todos los puntos de entrada de la aplicación web y es donde se encuentran la mayoría de las vulnerabilidades:
    • Manipulación de campos de encabezados de peticiones HTTP.
    • Inyección de código SQL a los sistemas gestores de bases de datos como Oracle, MS SQL Server, PostgreSql y otros.
    • Inclusión local y remota de archivos.
    • Inyección de cadenas bajo codificaciones diversas.
    • Inyección de códigos XML, ORM, SSI, XPath, IMAP/SMTP, entre otros.
    • Inyección de comandos del sistema operativo.
    • Intentos de esbordamiento de buffer.
  • Pruebas de seguridad al manejo de errores: En este punto se comprueba la preparación de la aplicación web ante eventos que generan errores y la información que exponen durante el proceso.
  • Pruebas de seguridad a los mecanismos criptográficos: Se comprueba si están presentes debilidades en los mecanismos de cifrados SSL/TLS, comprobación de los certificados digitales, evasión de los canales seguros a través de HTTP, vulnerabilidades ante ataques BREACH, BEAST, CRIME, HeartBleed, entre otros.
  • Prueba de seguridad a la lógica de negocios: Dentro de las fases de pruebas, esta es una en la que se requiere mayor nivel de creatividad por parte del especialista de seguridad, debido a que cada aplicación web gestiona procesos diferentes. Se incluyen pruebas de seguridad para comprobar si es posible evadir el flujo de trabajo, si es posible manipular los parámetros, datos de entradas y módulos, si se impide la subida de archivos con extensiones no consideradas dentro del proceso y con códigos dañinos. Si se realizan comprobaciones de integridad y validación de datos de entrada.
  • Pruebas de seguridad del lado del cliente: En esta última fase se comprueban vulnerabilidades de la aplicación web del lado del cliente. Se incluyen, entre otros, el análisis de debilidades que pueden ser aprovechadas para la manipulación de recursos mediante el DOM (Document Object Model), inyección de códigos HTML, CSS, de JavaScript y otros similares. También se incluye la comprobación de vulnerabilidades ante ataques de secuestros de clic (Clickjacking) y el almacenamiento de datos locales.

En la literatura científica y técnica consultada, la Guía de Pruebas de OWASP está reconocida como la más amplia y abarcadora con respecto a las demás metodologías, para el campo de las aplicaciones web. Propone un agrupamiento de pruebas de seguridad centrado en los componentes lógicos y de servicios.

Si tu campo profesional se encuentran relacionado con las aplicaciones web, es importante que estudies la Guía de Pruebas de OWASP. Te aseguro que va a cambiar la perspectiva que tienes de la seguridad en la web.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

Un comentario en “Guía de Pruebas de OWASP 4.0

  1. esto no tiene nada que ver pero es dificil encontrar donde escribir una pregunta. la pregunta es esta recientemente e estado probando (en mi propia red por supuesto) una herramienta de android ya algo vieja pero util se llama dsploit me preguntaba si la conocias y si no si pudieras dedicar un pequeño tema sobre las que crees mejores herramientas de auditoria para la plataforma android(si es que no lo tienes ya hecho que no e revisado todo jeje)

    Le gusta a 1 persona

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s