Guía de Pruebas de OWASP 4.0

La Guía de Pruebas de OWASP (OWASP Testing Guide) versión 4, fue publicada en el año 2014. Es un esfuerzo del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) por recopilar y estructurar todas las posibles pruebas de seguridad enfocadas en las aplicaciones web. esta dividida en 11 fases y más de 100 pruebas de…

¿Qué es lo nuevo en el OWASP Top 10 2017 R1?

El OWASP Top 10 refleja un consenso global sobre los riesgos más críticos en Aplicaciones Web. Es uno de los principales esfuerzos del Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) y su objetivo es concientizar a los especialistas y a la sociedad, en sentido general, sobre estos problemas. Desde…

OWASP Top 10 Proactive Controls 2016

La lectura de los 10 Principales Controles Proactivos de OWASP es una actividad refrescante que permite adquirir conciencia de lo que hacemos bien o mal durante el desarrollo de aplicaciones web y móviles. En 34 páginas se aborda, de manera clara y concisa, cada uno de los elementos que nunca podemos olvidar para escribir código…

Testing for Browser Cache Weakness (OTG-AUTHN-006)

El objetivo de la prueba de seguridad OTG-AUTHN-006 es comprobar si la aplicación web instruye correctamente al navegador para que no almacene información sensible. Los navegadores normalmente guardan información de las páginas web visitadas por los usuarios para hacer un registro del historial de navegación y establecer una caché para que la carga posterior de…

Testing for Vulnerable Remember Password (OTG-AUTHN-005)

Los navegadores web en muchas ocasiones nos preguntan si queremos almacenar nuestras credenciales de una aplicación web determinada, también hay aplicaciones web que tienen la funcionalidad de mantener la sesión abierta, esto significa que, aunque cerremos nuestro navegador o computadora, la próxima vez que accedamos a esta aplicación, no será necesario teclear la contraseña nuevamente…

HTTP Strict Transport Security (OTG-CONFIG-007)

El objetivo de la prueba HTTP Strict Transport Security (HSTS) (OTG-CONFIG-007) de OWASP consiste en determinar si la aplicación web siempre intercambia información con el navegador a través de HTTPS. Para ello debemos revisar si está presente el campo Strict-Transport-Security en la cabecera de la respuesta HTTP de la aplicación Web, esto indica que se…

Fingerprint Web Application (OTG-INFO-009)

El objetivo de la prueba Fingerprint Web Application (OTG-INFO-009) de OWASP es determinar la versión del CMS sobre el cual está corriendo la aplicación Web, de este modo es posible analizar el nivel de dificultad que presenta la aplicación para acceder a esta información y dificultar el trabajo para un posible atacante. Puede obtenerse más…