Publicada la OWASP Testing Guide v4

  • 0

Publicada la OWASP Testing Guide v4

Introducción

El pasado 17 de Septiembre se presento oficialmente la versión 4 de la Guía de Testing de Owasp. La verdad es que la noticia paso sin pena ni gloria por los diferentes blogs y paginas dedicadas a la seguridad. Creemos que es una noticia muy importante y no se ha dado la transcendencia que merece. El Owasp Testing Guide es un libro imprescindible que debe estar en todo auditor de seguridad o persona que quiera conocer mas sobre el tema tan apasionante de la seguridad informática.

Figura 1: Portada de la Guía OWASP de Testing.

Figura 1: Portada de la Guía OWASP de Testing.

En principio y hasta que este traducida la podremos de leer en dos formatos en pdf (https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf) o accesible en a través del web (https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents).

¿Que es la versión 4 de la Testing Guide de OWASP?

La Testing Guide es una guía, como su nombre indica de, una serie de pruebas que se pueden hacer a sistema y aplicativos para comprobar su seguridad. Dicho así suena como a “chino”, pero vamos a intentar ver como funciona mirando un capitulo de dicha guía como ejemplo.

La idea de cada capitulo es definir una prueba o un problema. Se explica el mismo, que es, que se intenta conseguir, etc. A continuación se definen una serie de pruebas con código y respuestas para ver como se puede evaluar si el sistema o aplicativo es vulnerable a ese problema. Y para terminar se recomiendan una serie de herramientas que automatizan en la medida de lo posible estas pruebas.

Ejemplo de prueba de la guía “Test HTTP Methods (OTG-CONFIG-006)”

El estudio de cada uno de los problemas o pruebas que debemos hacer en los sistemas o aplicativos se dividen en una serie de partes que nos indicaran que es y como se puede comprobar si el sistema es vulnerable.

Summary

Primera parte del estudio de la vulnerabilidad. En la versión Inglesa recibe el nombre de “Summary”. En esta parte explican de una manera clara cuales son las puntos importantes de estas caraceteristicas de los sistemas o aplicativos. A modo de ejemplo, podemos ver en esta captura la explicación de los métodos HTTP (HEAD, GET, POST,PUT,DELETE,TRACE,OPTIONS,CONNECT) lo que son y para que se utilizan.

Figura 2: Summary, donde se explican las características de la vulnerabilidad.

Figura 2: Summary, donde se explican las características de la vulnerabilidad.

 

How to Test

A continuación viene la parte llamada “How to Test”. Como su nombre indica hace referencia a como se deben de realizar los test para comprobar si el sistema o aplicativo es vulnerable a este problema. En las pruebas se intenta usar comandos o por lo menos hacerlo de una manera muy simple.

Figura 3: How to Test, donde se explican como realizar los test para comprobar la vulnerabilidad.

Figura 3: How to Test, donde se explican como realizar los test para comprobar la vulnerabilidad.

Tools

En esta parte se hace referencia a las herramientas que podemos usar para realizar las pruebas que se han explicado anteriormente pero de una manera mucho mas automática.

Figura 4: Tools, listado de herramientas que podemos usar para realizar las pruebas.

Figura 4: Tools, listado de herramientas que podemos usar para realizar las pruebas.

References

Por ultimo la parte de “referencias”, un listado de enlaces donde podemos leer mas sobre este tipo de ataques, contra-medidas, etc.

 

Figura 5: References, listado de enlaces para conseguir mas información.

Figura 5: References, listado de enlaces para conseguir mas información.

Conclusión

Aunque hemos tenido que esperar un tiempo desde la versión 3 de esta guía, esta versión 4, seguirá siendo un libro imprescindible para realizar las auditorias de seguridad de las personas que nos dedicamos a esto de la seguridad.

Les recordamos los enlaces a los dos formatos disponibles hasta el momento en pdf (https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf) o accesible en a través del web (https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents).

Un saludo


Leave a Reply