Un lugar sin fin

metodologias

OWASP 3 en español

Escrito por unlugarsinfin 19-07-2009 en General. Comentarios (0)

Ya se encuentra disponible la traducción al castellano de la versión 3 de la Guía de pruebas OWASP.

El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.

http://unlugarsinfin.blogspot.es/img/owasp.jpg  

Dejo entonces una corta definición sobre el contenido de esta Guía y algo del contenido temático de la misma:

El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo.

El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:

  • El alcance de qué se debe probar
  • Principios del testing
  • Explicación de las técnicas de pruebas
  • Explicación del marco de pruebas del OWASP

En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.

 

Fragmento del contenido temático:

  • Pruebas de intrusión de aplicaciones Web
  • Spiders, Robots, y Crawlers
  • Pruebas de firma digital de aplicaciones web
  • Analisis de codigos de error
  • Pruebas de SSL/TLS
  • Pruebas del receptor de escucha de la BBDD
  • Archivos antiguos, copias de seguridad y sin referencias
  • Metodos http y XST
  • Comprobación del sistema de autenticación
  • Transmision de credenciales a traves de un canal cifrado
  • Enumeracion de Usuarios
  • Cuentas de usuario adivinables (diccionario) O por defecto
  • Fuerza bruta
  • Saltarse el sistema de autenticación
  • Pruebas de gestión del caché de navegación y de salida de sesión
  • Pruebas de Captcha
  • Pruebas para atributos de cookies
  • Pruebas para CSRF
  • Pruebas de ruta transversal
  • Pruebas de escalada de privilegios
  • Pruebas de cross site scripting Reflejado
  • Inyeccion SQL
  • Inyeccion XML
  • Pruebas de desbordamiento de búfer
  • Pruebas de HTTP Splitting/Smuggling
  • Pruebas de denegación de servicio

 

Más información (Web oficial del proyecto OWASP)

OWASP (Open Web Application Security Project) Guía de pruebas v3

Escrito por unlugarsinfin 19-01-2009 en General. Comentarios (0)

La versión 3 de la Guía de Pruebas OWASP fue lanzada el pasado mes de Diciembre de 2008, a partir del proyecto que fue parte del OWASP Summer of Code y arrancó en Abril para revisar la versión 2 y mejorarla.

Esta guía de pruebas, de 349 páginas, se divide en 9 sub-categorías para un total de 66 controles realizables durante la actividad de Testing de la Aplicación Web.

Como siempre, cada control tiene un nombre OWASP: por ejemplo Inyección SQL es llamada OWASP-DV-005, y es el quinto control de la categoría de Validación de datos.

Un equipo de 21 autores y 4 revisores ha conseguido realizar esta versión 3 después de 6 meses de duro trabajo.

Podeis descargar la guía desde:

OWASP_Testing_Guide_v3.pdf

Download the presentation here
Browse the Testing Guide v3 on the wiki here

Y ahora, a esperar (o participar) la traducción a nuestro querido castellano!

Tipos de escaneo

Escrito por unlugarsinfin 01-12-2008 en General. Comentarios (0)
A continuación listo los distintos tipos de escaneo. En próximos artículos explicaré un poco por encima la metodología para cada uno de ellos.


Publicada ISO 27005 de Análisis de riesgos

Escrito por unlugarsinfin 26-09-2008 en General. Comentarios (0)
Desde el pasado 4 de Junio, se encuentra disponible el estándar de ISOde la familia 27000, destinado al análisis y gestión de riesgosrelacionados con la seguridad de la información.

ISO/IEC 27005:2008 proporciona una guía para la gestión de riesgos deseguridad de la información. Incluye los conceptos incluidos en ISO27001 y ha sido diseñada por el JTC 1/SC 27 para ayudar en la tarea degestión de la seguridad de la información basada en una aproximación degestión de riesgos. Es recomendable conocer los conceptos, modelos,procesos y terminología de ISO27001 e ISO27002 para entender el nuevoestándar ISO 27005.

La norma ha sido diseñada para ayudar a la puesta en prácticasatisfactoria del análisis y la gestión del riesgo, fase principal deldiseño de todo buen sistema de gestión de la seguridad de lainformación (SGSI).

Más informacion en: http://www.iso.org/iso/iso_catalogue/catalogue_tc/iso_technical_committee.html?commid=45306



La gestión de riesgos es aplicable a todas los tipos de organizacionesque consideren importante su información, y permite conocer y gestionarlos riesgos de dicha información vital para la Organización, frente aamenazas internas o externas.