Guía de Pruebas de OWASP 4.0

La Guía de Pruebas de OWASP (OWASP Testing Guide) versión 4, fue publicada en el año 2014. Es un esfuerzo del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) por recopilar y estructurar todas las posibles pruebas de seguridad enfocadas en las aplicaciones web. esta dividida en 11 fases y más de 100 pruebas de…

¿Qué es lo nuevo en el OWASP Top 10 2017 R1?

El OWASP Top 10 refleja un consenso global sobre los riesgos más críticos en Aplicaciones Web. Es uno de los principales esfuerzos del Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) y su objetivo es concientizar a los especialistas y a la sociedad, en sentido general, sobre estos problemas. Desde…

Problemas del “pentesting real” según Marek Zmysłowski (II)- Se Cuidadoso, es nuestro sistema en producción

La selección del entorno correcto es fundamental para garantizar una prueba de penetración (pentesting) exitosa. A pesar de ello, como plantea Marek Zmysłowski en la conferencia Penetration Testing 7 Deadly Sins, este es el primer problema o “pecado capital” con el que tropiezan los especialistas de seguridad,  afectando negativamente los resultados del proceso. Antes de…

Problemas del “pentesting real” según Marek Zmysłowski (I)- Introducción

Cuando preparaba las primeras conferencias iniciales sobre Pruebas de Penetración, conocidas también como Pentesting, tuve la suerte de encontrar en Internet la presentación “Penetration Testing 7 Deadly Sins” del especialista en consultorías de Seguridad Marek Zmysłowski. En ese momento me ayudó a comprender como enfocar una conferencia sobre este tema y a conocer algunas experiencias…

Apuntes sobre el Referer spoofing, el Referer spam y otros problemas de seguridad relacionados

Los problemas de seguridad relacionados con el mal uso de campo de encabezado de petición HTTP/1.1 Referer son muy diversos. Algunos son de tipo “molestos” y otros son francamente dañidos,  algunas son vulnerabilidades resultantes de malas prácticas de programación y otras son abiertamente intencionadas. En esta entrada abordaremos estos temas. Esta entrada fue escrita mano…

¿Tu aplicación web es vulnerable a un Ataque de Escalada de Privilegios? Analízalo con la OTG-AUTHZ-003 para que salgas de dudas (+Ejemplo)

La prueba de seguridad OTG-AUTHZ-003 tiene como objetivo determinar hasta qué punto es posible que un usuario pueda modificar sus privilegios o roles dentro de la aplicación web. Este comportamiento se denomina Ataque de Escalada de Privilegios (privilege escalation attack) y puede ser de tipo horizontal cuando es posible acceder a recursos de usuarios con…