Contents

Hemos hablado en anteriores publicaciones de diferentes metodologías de seguridad como: DMZ, bastionado y OWISAM. Hoy vamos a hablar de OWASP.

OWASP son las siglas de Open Web Application Security Project, una metodología de seguridad para realizar auditorías web, siendo estas abiertas y colaborativas. Estas auditorias webs estarán orientadas al análisis de seguridad de aplicaciones web para hacer uso de estas como referentes en auditorias de seguridad.

Desde la Agencia de Detectives CTX utilizamos este tipo de auditoría OWASP para todas aquellas auditorías de seguridad web, de esta forma somos capaces de analizar y evaluar posibles riesgos.

Este tipo de metodología de auditoría web permite garantizar que el análisis y revisión de una plataforma web se realiza de forma adecuada, de esta manera se garantiza que todos los riesgos y brechas ante posibles ataques han sido analizados y detectados para su posterior solución, todo ello con el objetivo final de ayudar a mejorar la seguridad y a proteger los sistemas.

¿Cómo funciona el OWASP?

Metodología de seguridad de auditoria web

Actualmente contamos con dos modalidades de revisión de seguridad basada en OWASP 2017:

1. Auditoría OWASP TOP 10.

Consiste en analizar una aplicación web en busca de posibles debilidades, riesgos y amenazas en base a 10 controles que son:

  • A1: Inyección.
  • A2: Pérdida de autenticación y gestión de sesiones.
  • A3: Exposición de datos sensibles.
  • A4: Entidad externa de XML (XXE).
  • A5: Control de acceso inseguro.
  • A6: Configuración de seguridad incorrecta.
  • A7: Cross site scripting (XSS).
  • A8: Deserialización insegura.
  • A9: Uso de componentes con vulnerabilidades conocidas.
  • A10: Monitorización y registro insuficiente.

Este tipo de auditoria web en base a 10 controles es la mas recomendable cuando estudiamos la seguridad de una aplicación por primera vez, o bien cuando la seguridad de dicha plataforma no es crítica para la empresa.

2. Auditoría OWASP completa

Este tipo de auditoría es una revisión de seguridad web completa y evalúa 90 controles definidos por la metodología OWASP. Es el tipo de auditoria ideal cuando la plataforma a analizar es crítica para las empresas y el nivel de seguridad es elevado, siendo importante implementarla ante posibles ataques informáticos.

Técnicas de Auditoría Web

Las auditorias y revisiones de seguridad de una plataforma o aplicación web podemos realizarla de forma manual haciendo uso de metodologías como OWASP o bien de forma manual utilizando herramientas comerciales que se dedican a ello.

Lo ideal es enfocarnos en ambas técnicas, la manual y la automática. La manual es la que requiere más esfuerzo de cara a identificar fallos relacionados con lógica de negocio y posibles fallos de seguridad que no pueden ser encontrados mediante las herramientas automáticas.

Además de hacer uso de la metodología OWASP, las aplicaciones web pueden ser analizar desde dos perspectivas:

  • Caja Negra: Cuando no tenemos conocimiento de la infraestructura, sin usuarios y con una revisión de seguridad enfocada al análisis de las áreas accesibles.
  • Caja Blanca: Análisis y revisión con mayor profundidad, se debe de contar con un mayor de nivel de conocimiento de la plataforma.

ctx detectives privados

Entrada anterior
¿Qué es el bastionado o hardening?
Entrada siguiente
¿Qué es DFIR?
Menú
Escanea el código