Owasp web security testing guide pdf
Desde el correo electrónico basado en la web hasta las compras y la banca en línea, las organizaciones están llevando sus negocios directamente a los navegadores web de los clientes cada día, evitando la necesidad de complejas instalaciones o actualizaciones. Además, las organizaciones están desplegando aplicaciones web internas para las finanzas, la automatización del marketing e incluso la comunicación interna, que a menudo son de cosecha propia o, al menos, están ajustadas a sus necesidades particulares.
Aunque las aplicaciones web ofrecen comodidad a las empresas y a los clientes, su ubicuidad las convierte en un objetivo de ataque popular para los ciberdelincuentes. Como resultado, las pruebas de seguridad de las aplicaciones web, o el escaneo y las pruebas de riesgo de las aplicaciones web, son esenciales.
Tal y como muestra el Informe de Verizon sobre las violaciones de datos de 2018, las aplicaciones web son un objetivo de ataque muy popular en las violaciones de datos confirmadas, y en algunos sectores hasta el 41% de las violaciones de datos están relacionadas con las aplicaciones web. El informe también encontró que alrededor de la mitad de las violaciones relacionadas con las aplicaciones web tardaron varios meses o más en ser descubiertas por los equipos de seguridad. Cuanto más tiempo tenga un atacante acceso a los sistemas, más daño puede causar. Los atacantes deben ser descubiertos y eliminados lo antes posible, pero a menudo es más fácil decirlo que hacerlo.
Nikto
La seguridad de las aplicaciones web (también conocida como Web AppSec) es la idea de construir sitios web para que funcionen como se espera, incluso cuando son atacados. El concepto implica un conjunto de controles de seguridad diseñados en una aplicación web para proteger sus activos de agentes potencialmente maliciosos.
Las aplicaciones web, como todo el software, contienen inevitablemente defectos. Algunos de estos defectos constituyen verdaderas vulnerabilidades que pueden ser explotadas, introduciendo riesgos para las organizaciones. La seguridad de las aplicaciones web se defiende de estos defectos. Implica aprovechar las prácticas de desarrollo seguras y aplicar medidas de seguridad a lo largo del ciclo de vida de desarrollo del software (SDLC), garantizando que se aborden los defectos a nivel de diseño y los errores a nivel de implementación.
Las pruebas de seguridad en la web tienen como objetivo encontrar vulnerabilidades de seguridad en las aplicaciones web y su configuración. El objetivo principal es la capa de aplicación (es decir, lo que se ejecuta en el protocolo HTTP). Las pruebas de seguridad de una aplicación web suelen implicar el envío de diferentes tipos de entradas para provocar errores y hacer que el sistema se comporte de forma inesperada. Estas llamadas “pruebas negativas” examinan si el sistema está haciendo algo para lo que no está diseñado.
Pruebas de seguridad de aplicaciones web owasp
Una empresa típica de desarrollo de software y aplicaciones web tiene un departamento de pruebas, o un equipo de control de calidad, que prueba constantemente el software y las aplicaciones web desarrolladas por la empresa para garantizar que los productos funcionan como se anuncian y no tienen errores. Las empresas de software más grandes también invierten cientos de miles, si no millones de dólares, en software para automatizar algunos de los procedimientos de prueba y garantizar que el producto sea de alta calidad.
Entonces, ¿cómo es que los sitios y aplicaciones web siguen siendo hackeados cada día? Por ejemplo, hace un par de días, el sitio de la Administración de Estambul fue vulnerado por un grupo de hackers llamado RedHack mediante una inyección SQL (más información). En marzo de 2013, Ben Williams publicó un libro blanco llamado “Hacking Appliances: Ironic exploits in security products”. El libro blanco incluye detalles sobre las vulnerabilidades de las aplicaciones web encontradas en la interfaz web del administrador de varios dispositivos de pasarela de seguridad que podrían utilizarse para eludir el dispositivo de seguridad y obtener acceso administrativo. El libro blanco puede descargarse desde aquí (pdf). En abril de 2013 se identificó una vulnerabilidad de ejecución remota de código que permite a un hacker malintencionado ejecutar código en el servidor web de la víctima en dos de los plugins más populares de WordPress para el almacenamiento en caché (más información). Y la lista sigue y sigue.
Cómo realizar pruebas de seguridad en aplicaciones web
Tienen todo un conjunto de herramientas para probar mi entorno doméstico. Algunas de las funciones que más utilicé fueron sus escáneres de sitios web y de red, Sniper: Auto Exploiter, varias pruebas de páginas de acceso, y su buscador de subdominios para ayudarme con los subdominios que había olvidado.
Un escáner de vulnerabilidad web es una herramienta de pruebas de seguridad de sitios web que detecta automáticamente los agujeros de seguridad y los errores de configuración en las aplicaciones web y sus componentes. Sus capacidades independientes del lenguaje lo convierten en una herramienta esencial para detectar vulnerabilidades comunes en servicios web, servidores web, servidores proxy y servidores de aplicaciones web.
Puede utilizar nuestro escáner de vulnerabilidad de sitios web en línea, sin tener que dedicar tiempo a los scripts de configuración manual. La lista de pruebas que realiza es pública y las opciones de personalización le permiten controlar totalmente su funcionalidad.
Junto con sus fuertes capacidades de reporte y sus poderosas características de automatización, nuestro Website Vulnerability Scanner es una poderosa herramienta para las pruebas de seguridad de aplicaciones dinámicas (DAST) y las pruebas de seguridad de aplicaciones estáticas (SAST).