Guia de Pruebas de "El proyecto abierto de seguridad en aplicaciones Web" OWASP

Iniciado por T0rete, 14 Julio 2009, 15:21 PM

0 Miembros y 1 Visitante están viendo este tema.

T0rete

Leo en Security by default que ha sido liberada la guia de pruebas en español del proyecto OWASP. Me ha parecido que el contenido era muy apropiado para este subforo.

Guia en español en PDF http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf

Página en español del proyecto http://www.owasp.org/index.php?title=Main_Page&setlang=es

Os dejo el indice de pruebas para los mas vagos e indecisos a la hora de hacer click


4 Pruebas de intrusión de aplicaciones Web
4.1 Introducción y objetivos
4.2 Recopilación de información
4.2.1 Spiders, Robots, y Crawlers (OWASP-IG-001)
4.2.2 Reconocimiento mediante motores de búsqueda (OWASP-IG-002)
4.2.3 Identificación de puntos de entrada de la aplicación (OWASP-IG-003)
4.2.4 Pruebas de firmaS de aplicaciones web (OWASP-IG-004)
4.2.5 Descubrimiento de aplicaciones (OWASP-IG-005)
4.2.6 Analisis de codigos de error (OWASP-IG-006)
4.3 Pruebas de gestion de configuracion de la infraestructura
4.3.1 Pruebas de SSL/TLS (OWASP-CM-001)
4.3.2 Pruebas del receptor de escucha de la BD (OWASP-CM-002)
4.3.3 Pruebas de gestión de configuración de la infraestructura (OWASP-CM-003)
4.3.4 Pruebas de gestión de configuración de la aplicación (OWASP-CM-004)
4.3.5 Pruebas de Gestión de extensiones de archivo (OWASP-CM-005)
4.3.6 Archivos antiguos, copias de seguridad y sin referencias (OWASP-CM-006)
4.3.7 Interfases administrativas de aplicación e infraestructura (OWASP-CM-007)
4.3.8 Metodos http y XST (OWASP-CM-008)
4.4 Comprobación del sistema de autenticación
4.4.1 Transmision de credenciales a traves de un canal cifrado (OWASP-AT-001)
4.4.2 Enumeracion de Usuarios (OWASP-AT-002)
4.4.3 Cuentas de usuario predetermindadas o adivinables (diccionario) (OWASP-AT-003)
4.4.4 Pruebas de Fuerza bruta (OWASP-AT-004)
4.4.5 Saltarse el sistema de autenticación (OWASP-AT-005)
4.4.6 Comprobar Sistemas de recordatorio/reset de contraseñas vulnerables (OWASP-AT-006)
4.4.7 Pruebas de gestión del caché de navegación y de salida de sesión (OWASP-AT-007)
4.4.8 Pruebas de Captcha (OWASP-AT-008)
4
4.4.9 Pruebas para autenticacion de factores multiples (OWASP-AT-009)
4.4.10 probar por SITUACIONES adverzas (OWASP-AT-010)
4.5 Pruebas de gestión de sesiones
4.5.1 Pruebas para el esquema de gestion de sesiones (OWASP-SM-001)
4.5.2 Pruebas para atributos de cookies (OWASP-SM-002)
4.5.3 Pruebas para fijacion de sesion (OWASP-SM-003)
4.5.4 Pruebas para variables de sesion expuestas (OWASP-SM-004)
4.5.5 Pruebas para CSRF (OWASP-SM-004)
4.6 Pruebas de autorizacion
4.6.1 Pruebas de ruta transversal (OWASP-AZ-001)
4.6.2 Pruebas para saltarse el esquema de autenticacion (OWASP-AZ-002)
4.6.3 Pruebas de escalación de privilegios (OWASP-AZ-003)
4.7 Comprobación de la lógica de negocio (OWASP-BL-001)
4.8 Pruebas de validación de datos
4.8.1 Pruebas de cross site scripting Reflejado (OWASP-DV-oo1)
4.8.2 Pruebas de cross site scripting almacenado (OWASP-DV-002)
4.8.3 Pruebas de cross site scripting basado en DOM (OWASP-DV-003)
4.8.4 Pruebas de cross site scripting basado en flash (OWASP-DV-004)
4.8.5 Inyeccion SQL (OWASP-DV-005)
4.8.5.1 Pruebas en Oracle
4.8.5.2 Pruebas en MySQL
4.8.5.3 Pruebas en SQL Server
4.8.5.4 Pruebas en MS Access
4.8.5.5 Pruebas en PostgreSQL
4.8.6 Inyeccion LDAP (OWASP-DV-006)
4.8.7 Inyeccion ORM (OWASP-DV-007)
4.8.8 Inyeccion XML (OWASP-DV-008)
OWASP Testing Guide v3.0
4.8.9 Inyeccion SSI (OWASP-DV-009)
4.8.10 Inyección XPATH (OWASP-DV-010)
4.8.11 Inyección IMAP/SMTP (OWASP-DV-011)
4.8.12 Inyección de codigo (OWASP-DV-012)
4.8.13 Inyección de ordenes de sistema (OWASP-DV-013)
4.8.14 Pruebas de desbordamiento de búfer (OWASP-DV-014)
4.8.14.1 Desbordamientos de memoria Heap
4.8.14.2 Desbordamiento de pila
4.8.14.3 Cadenas de formato
4.8.15 Pruebas de vulnerabilidad Incubada (OWASP-DV-015)
4.8.16 Pruebas de HTTP Splitting/Smuggling (OWASP-DV-016)
4.9 Pruebas de denegación de servicio
4.9.1 Denegación de servicio mediante ataques CON Wildcards SQL (OWASP-DS-001)
4.9.2 Bloqueando cuentas de usuario (OWASP-DS-002)
4.9.3 Desbordamientos de búfer (OWASP-DS-003)
4.9.4 Reserva de objetos especificada por usuario (OWASP-DS-004)
4.9.5 Entradas de usuario como bucle (OWASP-DS-005)
4.9.6 Escritura a disco de datos suministrados por usuario (OWASP-DS-006)
4.9.7 Fallar en la liberación de recursos (OWASP-DS-007)
4.9.8 Almacenamiento excesivo en la sesión (OWASP-DS-008)
4.10 Comprobación de servicios web
4.10.1 Obtención de Información en Servicios Web (OWASP-WS-001)
4.10.2 Probando WSDL (OWASP-WS-002)
4.10.3 Pruebas estructurales de XML(OWASP-WS-003)
4.10.4 Comprobación de XML a nivel de contenido (OWASP-WS-004)
4.10.5 Comprobación de parámetros HTTP GET/REST (OWASP-WS-005)
4.10.6 Adjuntos Soap maliciosos (OWASP-WS-006)
6
4.10.7 Pruebas de repetición (OWASP-WS-007)
4.11 Pruebas de Ajax
4.11.1 Vulnerabilidades Ajax (OWASP-AJ-001)
4.11.2 Pruebas de Ajax (OWASP-AJ-002)

javicasma

Gracias por el aporte. Vamos de darle una leída ver como está el texto. Saludos.