PDF de programación - Guía de pruebas de OWASP ver 3.0

GUÍA DE PRUEBAS OWASP

2008 V3.0



© 2002-2008 OWASP Foundation

Este documento está licenciado bajo la licencia de Creative Commons Attribution-ShareAlike 3.0 (Compartir con la misma

atribución). Debe atribuir su version de la guía de pruebas de OWASP a la fundación OWASP (OWASP Foundation).





Tabla de contenidos



Prólogo.........................................................................................................................................................................................7

¿PAra Quién? ..........................................................................................................................................................................7

las guías de owasp ..................................................................................................................................................................7

¿Porqué OWASP?....................................................................................................................................................................8

Escogiendo la estrategia y prioridades ...................................................................................................................................8

El papel de las herramientas automatizadas ..........................................................................................................................9

Convocatoria ...........................................................................................................................................................................9

Notas de traducción...................................................................................................................................................................10

Notas .....................................................................................................................................................................................10

Glosario de términos y desambiguación...............................................................................................................................10

Agradecimientos ...................................................................................................................................................................11

1. Portada ..................................................................................................................................................................................12

Bienvenidos a la guía de pruebas OWASP 3.0.......................................................................................................................12

Acerca del proyecto abierto de Seguridad de Aplicaciones Web .........................................................................................15

2. Introducción...........................................................................................................................................................................18

Principios de la comprobación..............................................................................................................................................21

Técnicas de comprobación explicadas ..................................................................................................................................24

Derivaciones de los requerimientos de pruebas de seguridad.............................................................................................30

3. El entorno de pruebas OWASP ..............................................................................................................................................47

INFORMACIÓN general .........................................................................................................................................................47

Fase 1: Antes de empezar el desarrollo ................................................................................................................................48

Fase 2 - Durante el diseño y definición .................................................................................................................................48

Fase 3: Durante el desarrollo ................................................................................................................................................50

Fase 4: Durante la implementación ......................................................................................................................................51

Fase 5: Mantenimiento y operaciones..................................................................................................................................51

2





OWASP Testing Guide v3.0

4 Pruebas de intrusión de aplicaciones Web .............................................................................................................................53

4.1 Introducción y objetivos..................................................................................................................................................53

4.2 Recopilación de información...........................................................................................................................................59

4.2.1 Spiders, Robots, y Crawlers (OWASP-IG-001) ..............................................................................................................60

4.2.2 Reconocimiento mediante motores de búsqueda (OWASP-IG-002) ...........................................................................61

4.2.3 Identificación de puntos de entrada de la aplicación (OWASP-IG-003).......................................................................64

4.2.4 Pruebas de firmaS de aplicaciones web (OWASP-IG-004) ...........................................................................................67

4.2.5 Descubrimiento de aplicaciones (OWASP-IG-005).......................................................................................................73

4.2.6 Analisis de codigos de error (OWASP-IG-006)..............................................................................................................81

4.3 Pruebas de gestion de configuracion de la infraestructura ............................................................................................85

4.3.1 Pruebas de SSL/TLS (OWASP-CM-001).........................................................................................................................86

4.3.2 Pruebas del receptor de escucha de la BD (OWASP-CM-002) .....................................................................................93

4.3.3 Pruebas de gestión de configuración de la infraestructura (OWASP-CM-003)............................................................97

4.3.4 Pruebas de gestión de configuración de la aplicación (OWASP-CM-004)..................................................................102

4.3.5 Pruebas de Gestión de extensiones de archivo (OWASP-CM-005)............................................................................107

4.3.6 Archivos antiguos, copias de seguridad y sin referencias (OWASP-CM-006) ............................................................109

4.3.7 Interfases administrativas de aplicación e infraestructura (OWASP-CM-007) ..........................................................115

4.3.8 Metodos http y XST (OWASP-CM-008) ......................................................................................................................117

4.4 Comprobación del sistema de autenticación................................................................................................................121

4.4.1 Transmision de credenciales a traves de un canal cifrado (OWASP-AT-001) ............................................................122

4.4.2 Enumeracion de Usuarios (OWASP-AT-002) ..............................................................................................................126

4.4.3 Cuentas de usuario predetermindadas o adivinables (diccionario) (OWASP-AT-003) ..............................................131

4.4.4 Pruebas de Fuerza bruta (OWASP-AT-004)................................................................................................................134

4.4.5 Saltarse el sistema de autenticación (OWASP-AT-005) .............................................................................................139

4.4.6 Comprobar Sistemas de recordatorio/reset de contraseñas vulnerables (OWASP-AT-006).....................................144

4.4.7 Pruebas de gestión del caché de navegación y de salida de sesión (OWASP-AT-007) ..............................................147

4.4.8 Pruebas de Captcha (OWASP-AT-008) .......................................................................................................................152



3





4.4.9 Pruebas para autenticacion de factores multiples (OWASP-AT-009) ........................................................................154

4.4.10 probar por SITUACIONES adverzas (OWASP-AT-010) ..............................................................................................158

4.5 Pruebas de gestión de sesiones ....................................................................................................................................160

4.5.1 Pruebas para el esquema de gestion de sesiones (OWASP-SM-001) ........................................................................161

4.5.2 Pruebas para atributos de cookies (OWASP-SM-002) ...............................................................................................171

4.5.3 Pruebas para fijacion de sesion (OWASP-SM-003) ..................................................................................................