Test Upload of Unexpected File Types (OTG-BUSLOGIC-008)

La prueba de seguridad OTG-BUSLOGIC-008 define los pasos para comprobar si la aplicación web es capaz de manejar adecuadamente la validación de los archivos con extensiones no permitidas en la lógica de procesos. ¿Qué riesgos para la seguridad de la aplicación pueden inferirse de esto? Muy sencillo, imaginemos una aplicación web que recibe archivos, los…

Proyecto Broken Web Applications de OWASP

Este es mi primera entrada en el blog luego de las vacaciones de verano y quisiera comenzar hablando de un proyecto que me permitió, en estas semanas de receso, recrear varios escenarios para la realización de pruebas de seguridad en aplicaciones web. Si, ya sé que las vacaciones son para descansar, pero también son para…

Testing for Browser Cache Weakness (OTG-AUTHN-006)

El objetivo de la prueba de seguridad OTG-AUTHN-006 es comprobar si la aplicación web instruye correctamente al navegador para que no almacene información sensible. Los navegadores normalmente guardan información de las páginas web visitadas por los usuarios para hacer un registro del historial de navegación y establecer una caché para que la carga posterior de…

Testing for Cookies attributes (OTG-SESS-002)

La prueba de seguridad OTG-SESS-002, de la OTG de OWASP, propone revisar la configuración de los atributos de las cookies, comprobando que estén establecidos los valores que fortalezca sus indicadores de seguridad. Si quieres saber más sobre los atributos de las cookies puedes encontrarlo en el siguiente enlace. Para realizar esta prueba de seguridad, bajo…

Testing for Session Fixation (OTG-SESS-003)

El objetivo de la prueba de seguridad OTG-SESS-003 consiste en comprobar si son renovadas las cookies luego de una autenticación exitosa del usuario. Si esto no ocurre, el usuario puede ser forzado, sin su consentimiento, a usar una cookie conocida por el atacante, el cual, esperaría luego pacientemente a que el usuario se autentique con…

Analysis of Stack Traces (OTG-ERR-002)

El objetivo de la prueba de seguridad OTG-ERR-002 es determinar si es posible inferir la lógica de procesos y otras interioridades de nuestras aplicaciones web producto de una mala gestión de la pila de mensajes de excepciones que pueden desencadenarse bajo ciertas operaciones. Normalmente esto es utilizado por los desarrolladores para conocer cómo responden los…

HTTP Strict Transport Security (OTG-CONFIG-007)

El objetivo de la prueba HTTP Strict Transport Security (HSTS) (OTG-CONFIG-007) de OWASP consiste en determinar si la aplicación web siempre intercambia información con el navegador a través de HTTPS. Para ello debemos revisar si está presente el campo Strict-Transport-Security en la cabecera de la respuesta HTTP de la aplicación Web, esto indica que se…