Testing for Cookies attributes (OTG-SESS-002)

La prueba de seguridad OTG-SESS-002, de la OTG de OWASP, propone revisar la configuración de los atributos de las cookies, comprobando que estén establecidos los valores que fortalezca sus indicadores de seguridad. Si quieres saber más sobre los atributos de las cookies puedes encontrarlo en el siguiente enlace. Para realizar esta prueba de seguridad, bajo…

Testing for Session Fixation (OTG-SESS-003)

El objetivo de la prueba de seguridad OTG-SESS-003 consiste en comprobar si son renovadas las cookies luego de una autenticación exitosa del usuario. Si esto no ocurre, el usuario puede ser forzado, sin su consentimiento, a usar una cookie conocida por el atacante, el cual, esperaría luego pacientemente a que el usuario se autentique con…

Analysis of Stack Traces (OTG-ERR-002)

El objetivo de la prueba de seguridad OTG-ERR-002 es determinar si es posible inferir la lógica de procesos y otras interioridades de nuestras aplicaciones web producto de una mala gestión de la pila de mensajes de excepciones que pueden desencadenarse bajo ciertas operaciones. Normalmente esto es utilizado por los desarrolladores para conocer cómo responden los…

HTTP Strict Transport Security (OTG-CONFIG-007)

El objetivo de la prueba HTTP Strict Transport Security (HSTS) (OTG-CONFIG-007) de OWASP consiste en determinar si la aplicación web siempre intercambia información con el navegador a través de HTTPS. Para ello debemos revisar si está presente el campo Strict-Transport-Security en la cabecera de la respuesta HTTP de la aplicación Web, esto indica que se…