La OTG-AUTHN-001 de OWASP propone comprobar si las credenciales viajan sobre un canal encriptado

La prueba de seguridad OTG-AUTHN-001 de la OTG tiene como objetivo comprobar si las credenciales de los usuarios viajan a través de un canal encriptado para impedir que sean interceptados por un atacante. Normalmente los datos de las credenciales son enviados por los formularios de autenticación, sin embargo, cuando se utilizan cookies de sesión estas…

HTTP Strict Transport Security (OTG-CONFIG-007)

El objetivo de la prueba HTTP Strict Transport Security (HSTS) (OTG-CONFIG-007) de OWASP consiste en determinar si la aplicación web siempre intercambia información con el navegador a través de HTTPS. Para ello debemos revisar si está presente el campo Strict-Transport-Security en la cabecera de la respuesta HTTP de la aplicación Web, esto indica que se…

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) es un mecanismo para establecer que todo el tráfico entre el navegador web y un dominio dado debe realizarse sobre HTTPS. HSTS convierte automáticamente todas las peticiones HTTP a peticiones HTTPS, incluyendo aquellas peticiones de aplicaciones web que se comunican a través de HTTPS, pero inadvertidamente contienen enlaces a HTTP (Ej.…