Inicio / Blog / OWASP Testing Guide v4.0. Guia de seguridad en aplicaciones Web

OWASP Testing Guide v4.0. Guia de seguridad en aplicaciones Web

Publicado el 15/10/2014, por Antonio López (INCIBE)
OWASP Testing Guide v4.0. Guia de seguridad en aplicaciones Web

La fundación Open Web Application Security Project lidera desde 2001 un proyecto libre sin ánimo de lucro orientado a promover la seguridad del software en general y de aplicaciones web en particular, manteniendo para ello varios proyectos e iniciativas. Bajo licencia Creative Commons, genera y distribuye libremente material de alta calidad desarrollado por decenas de profesionales relacionados con el desarrollo y seguridad del software, entre ellos guías, plataformas educativas y herramientas de auditoría, etc. Situadas entre las publicaciones más valoradas en relación al sector de auditorías de seguridad, las guías publicadas por la fundación OWASP se han convertido en un referente en el mundo de la seguridad del desarrollo y evaluación de aplicaciones. En 2008 se editó la versión 3 de la guía, con su traducción al castellano en 2009 en la que participó activamente INCIBE.

Guía de pruebas OWASP versión 4.

Seis años después, aparece la versión 4 de OWASP Testing Guide que se ha consolidado ya como un material indispensable, ya no sólo para profesionales del desarrollo y pruebas de software, sino también para especialistas en seguridad de la información, quienes encontrarán en este material un compendio esencial en seguridad de aplicaciones web. Concretamente, para los desarrolladores constituye el complemento perfecto de otras guías también publicadas por la fundación OWASP: las guías Developer y Code Review.

- OWASP 4.0 -

En la guía se presenta una metodología que recorre de forma organizada y sistemática todas las posibles áreas que supongan vectores de ataque a una aplicación web. De esta forma, siguiendo una lista de pruebas perfectamente organizada, se puede auditar de forma eficaz la seguridad de un desarrollo web.

Respecto la versión 3, se han revisado y ampliado todos los puntos ya tratados y se han añadido cuatro nuevas áreas de control:

• Gestión de Identidades

• Control de errores

• Criptografía

• Pruebas del lado cliente

 

Ciclo de vida y framework de pruebas

En la guía asimismo, se indica cómo organizar la auditoria en etapas según el estado de madurez en el desarrollo de la aplicación, y de este modo, realizar actividades durante todo el ciclo de vida de la misma: actividades a tener en cuenta antes del desarrollo, actividades en la definición y diseño, durante el desarrollo, en el despliegue y finalmente, en el mantenimiento y soporte.

- Fases en el desarrollo de una aplicación -

Bajo esta organización, se propone el framework de pruebas donde se identifican y detallan los puntos de control sobre los que se aplicarán los tests correspondientes.

- Tests de Seguridad en el ciclo de desarrollo de una aplicación -

Puntos de control y pruebas de seguridad

La metodología propone dos fases en las pruebas de seguridad. Una fase pasiva, donde se observa el funcionamiento de la aplicación y "se juega" con todas las funcionalidades posibles de la misma. El objetivo de esta fase es entender la lógica de operación e identificar los posibles vectores de ataque y/o vulnerabilidades. A continuación, en una segunda fase se ejecutarán de forma activa las pruebas propuestas según los vectores identificados en la fase anterior.

Los tests o pruebas se agrupan en 11 categorías para sumar un total de 91 puntos de control:

1. Information Gathering

2. Configuration and Deployment Management Testing

3. Identity Management Testing

4. Authentication Testing

5. Authorization Testing

6. Session Management Testing

7. Input Validation Testing

8. Error Handling

9. Cryptography

10. Business Logic Testing

11. Client Side Testing

 

A lo largo de estos puntos de control se describen pormenorizadamente y con ejemplos, las pruebas a realizar para detectar las posibles vulnerabilidades y/o debilidades en cada categoría. Temas tan importantes como la inyección SQL, fuga de información, métodos de autenticación o cifrado débil, validación incorrecta de parámetros y otros muchos son descritos en detalle, proporcionando al auditor una visión clara del problema de seguridad y las contramedidas a adoptar.

Un listado detallado de los puntos de control puede consultarse en la wiki de OWASP: Testing Checklist

Informe de resultados

Adicionalmente, la guía incluye también un apartado orientado a la elaboración de un informe de la auditoría. En este apartado se propone una modelo de informe estructurado en tres secciones principales:

· Informe ejecutivo, donde se valora de forma clara y sencilla los resultados obtenidos en la auditoría, sin entrar en detalles técnicos, y orientado a dar una visión de alto nivel del impacto de los hallazgos encontrados.

· Informe de pruebas, que describe técnicamente el detalle de la acción, el alcance y limitaciones de cada test realizado.

· Informe de hallazgos, para presentar los resultados obtenidos de cada test así como la contramedida recomendada para la mitigación corrección de los problemas encontrados

Finalmente, la guía termina con un completísimo apéndice donde se pueden encontrar multitud de referencias, herramientas y "chuletas" o "cheatsheets" con los comandos, trucos e instrucciones más útiles para su uso durante las pruebas.

La guía OWASP representa sin duda un documento de alto valor técnico que ha de tenerse muy en cuenta de cara a evaluar la seguridad de una aplicación web.