OWASP Testing
Una prueba de seguridad es un método para evaluar el nivel de seguridad de un sistema informático o una red mediante la validación y verificación sistemática de la eficacia de los controles de seguridad de la aplicación.
El proceso de testing implica un análisis exhaustivo de la aplicación en busca de debilidades, fallas técnicas o vulnerabilidades. Cualquier problema de seguridad que se encuentre debe ser presentado al propietario del sistema, junto con una evaluación del impacto, una propuesta de mitigación o una solución técnica.
OWASP Web Security Testing Guide
La metodología de prueba de seguridad de la aplicación web de OWASP explica cómo probar la evidencia de vulnerabilidades dentro de la aplicación debido a deficiencias con los controles de seguridad identificados.
- 01. Recopilación de información
- 02. Configuración e implementación gestión de pruebas
- 03. Pruebas de administración de identidad
- 04. Pruebas de Autenticación
- 05. Pruebas de autorización
- 06. Pruebas de administración de sesiones
- 07. Pruebas de validación de entradas
- 08. Pruebas de manejo de errores
- 09. Pruebas para criptografía débil
- 10. Pruebas de lógica del negocio
- 11. Pruebas de lado del cliente
- 12. Pruebas de APIs
OWASP Mobile Security Testing Guide
Se realizan pruebas de seguridad de aplicaciones móviles e ingeniería inversa para dispositivos móviles iOS y Android según la necesidad de la empresa con el siguiente contenido:
- Interiores de la plataforma móvil
- Pruebas de seguridad en el ciclo de vida de desarrollo de aplicaciones móviles
- Pruebas de seguridad estáticas y dinámicas básicas
- Ingeniería inversa y manipulación de aplicaciones móviles
- Evaluación de protecciones de software
- Casos de prueba detallados que se corresponden con los requisitos del Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS):
- V1: Requisitos de Arquitectura, Diseño y Modelado de Amenazas
- V2: Requerimientos de Almacenamiento de datos y Privacidad
- V3: Requerimientos de Criptografía
- V4: Requerimientos de Autenticación y Manejo de Sesiones
- V5: Requerimientos de Comunicación a través de la red
- V6: Requerimientos de Interacción con la Plataforma
- V7: Requerimientos de Calidad de Código y Configuración del Compilador
- V8: Requerimientos de Resistencia ante la Ingeniería Inversa