Problemas del “pentesting real” según Marek Zmysłowski (II)- Se Cuidadoso, es nuestro sistema en producción

La selección del entorno correcto es fundamental para garantizar una prueba de penetración (pentesting) exitosa. A pesar de ello, como plantea Marek Zmysłowski en la conferencia Penetration Testing 7 Deadly Sins, este es el primer problema o “pecado capital” con el que tropiezan los especialistas de seguridad,  afectando negativamente los resultados del proceso. Antes de…

Problemas del “pentesting real” según Marek Zmysłowski (I)- Introducción

Cuando preparaba las primeras conferencias iniciales sobre Pruebas de Penetración, conocidas también como Pentesting, tuve la suerte de encontrar en Internet la presentación “Penetration Testing 7 Deadly Sins” del especialista en consultorías de Seguridad Marek Zmysłowski. En ese momento me ayudó a comprender como enfocar una conferencia sobre este tema y a conocer algunas experiencias…

¿Tu aplicación web es vulnerable a un Ataque de Escalada de Privilegios? Analízalo con la OTG-AUTHZ-003 para que salgas de dudas (+Ejemplo)

La prueba de seguridad OTG-AUTHZ-003 tiene como objetivo determinar hasta qué punto es posible que un usuario pueda modificar sus privilegios o roles dentro de la aplicación web. Este comportamiento se denomina Ataque de Escalada de Privilegios (privilege escalation attack) y puede ser de tipo horizontal cuando es posible acceder a recursos de usuarios con…

Test Upload of Unexpected File Types (OTG-BUSLOGIC-008)

La prueba de seguridad OTG-BUSLOGIC-008 define los pasos para comprobar si la aplicación web es capaz de manejar adecuadamente la validación de los archivos con extensiones no permitidas en la lógica de procesos. ¿Qué riesgos para la seguridad de la aplicación pueden inferirse de esto? Muy sencillo, imaginemos una aplicación web que recibe archivos, los…

Testing for Browser Cache Weakness (OTG-AUTHN-006)

El objetivo de la prueba de seguridad OTG-AUTHN-006 es comprobar si la aplicación web instruye correctamente al navegador para que no almacene información sensible. Los navegadores normalmente guardan información de las páginas web visitadas por los usuarios para hacer un registro del historial de navegación y establecer una caché para que la carga posterior de…

Testing for Cookies attributes (OTG-SESS-002)

La prueba de seguridad OTG-SESS-002, de la OTG de OWASP, propone revisar la configuración de los atributos de las cookies, comprobando que estén establecidos los valores que fortalezca sus indicadores de seguridad. Si quieres saber más sobre los atributos de las cookies puedes encontrarlo en el siguiente enlace. Para realizar esta prueba de seguridad, bajo…