PDF de programación - Guía de pruebas de OWASP ver 3.0

GUÍA DE PRUEBAS OWASP

2008 V3.0



© 2002-2008 OWASP Foundation

Este documento está licenciado bajo la licencia de Creative Commons Attribution-ShareAlike 3.0 (Compartir con la misma

atribución). Debe atribuir su version de la guía de pruebas de OWASP a la fundación OWASP (OWASP Foundation).





Tabla de contenidos



Prólogo.........................................................................................................................................................................................7

¿Porqué OWASP?....................................................................................................................................................................8

Escogiendo la estrategia y prioridades ...................................................................................................................................8

El papel de las herramientas automatizadas ..........................................................................................................................9

Convocatoria ...........................................................................................................................................................................9

Notas de traducción...................................................................................................................................................................10

Notas .....................................................................................................................................................................................10

Glosario de términos y desambiguación...............................................................................................................................10

Agradecimientos ...................................................................................................................................................................11

1. Portada ..................................................................................................................................................................................12

Bienvenidos a la guía de pruebas OWASP 3.0.......................................................................................................................12

Acerca del proyecto abierto de Seguridad de Aplicaciones Web .........................................................................................15

2. Introducción...........................................................................................................................................................................18

Principios de la comprobación..............................................................................................................................................21

Técnicas de comprobación explicadas ..................................................................................................................................24

Derivaciones de los requerimientos de pruebas de seguridad.............................................................................................30

3. El entorno de pruebas OWASP ..............................................................................................................................................47

Presentación ............................................................................................................................ ¡Error! Marcador no definido.

Fase 1: Antes de empezar el desarrollo ................................................................................................................................48

Fase 2 - Durante el diseño y definición .................................................................................................................................48

Fase 3: Durante el desarrollo ................................................................................................................................................50

Fase 4: Durante la implementación ......................................................................................................................................51

Fase 5: Mantenimiento y operaciones..................................................................................................................................51

Un flujo de comprobación típico en un SDLC........................................................................................................................52

4 Pruebas de intrusión de aplicaciones Web .............................................................................................................................53

2





OWASP Testing Guide v3.0

4.1 Introducción y objetivos..................................................................................................................................................53

4.2 Recopilación de información...........................................................................................................................................59

4.2.1 Spiders, Robots, y Crawlers (OWASP-IG-001) ..............................................................................................................60

4.2.2 Reconocimiento mediante motores de búsqueda (OWASP-IG-002) ...........................................................................61

4.2.3 Identificación de puntos de entrada de la aplicación (OWASP-IG-003).......................................................................64

4.2.4 Pruebas de firma digital de aplicaciones web (OWASP-IG-004) ..................................................................................67

4.2.5 Descubrimiento de aplicaciones (OWASP-IG-005).......................................................................................................73

4.2.6 Analisis de codigos de error (OWASP-IG-006)..............................................................................................................81

4.3 Pruebas de gestion de configuracion de la infraestructura ............................................................................................85

4.3.1 Pruebas de SSL/TLS (OWASP-CM-001).........................................................................................................................86

4.3.2 Pruebas del receptor de escucha de la BBDD (OWASP-CM-002).................................................................................93

4.3.3 Pruebas de gestión de configuración de la infraestructura (OWASP-CM-003)............................................................97

4.3.4 Pruebas de gestión de configuración de la aplicación (OWASP-CM-004)..................................................................102

4.3.5 Pruebas de Gestión de extensiones de archivo (OWASP-CM-005)............................................................................107

4.3.6 Archivos antiguos, copias de seguridad y sin referencias (OWASP-CM-006) ............................................................109

4.3.7 Interfases administrativas de aplicación e infraestructura (OWASP-CM-007) ..........................................................115

4.3.8 Metodos http y XST (OWASP-CM-008) ......................................................................................................................117

4.4 Comprobación del sistema de autenticación................................................................................................................121

4.4.1 Transmision de credenciales a traves de un canal cifrado (OWASP-AT-001) ............................................................122

4.4.2 Enumeracion de Usuarios (OWASP-AT-002) ..............................................................................................................126

4.4.3 Cuentas de usuario adivinables (diccionario) O por defecto (OWASP-AT-003) .........................................................131

4.4.4 Fuerza bruta (OWASP-AT-004)...................................................................................................................................134

4.4.5 Saltarse el sistema de autenticación (OWASP-AT-005) .............................................................................................139

4.4.6 Recordatorio de contraseñas y pwd reset .................................................................................................................144

4.4.7 Pruebas de gestión del caché de navegación y de salida de sesión...........................................................................147

4.4.8 Pruebas de Captcha (OWASP-AT-008) .......................................................................................................................152

4.4.9 Pruebas para autenticacion de factores multiples (OWASP-AT-009) ........................................................................154



3





4.4.10 Pruebas de condicion de carrera (Race Conditions) (OWASP-AT-010) ....................................................................158

4.5 Pruebas de gestión de sesiones ....................................................................................................................................160

4.5.1 Pruebas para el esquema de gestion de sesiones (OWASP-SM-001) ........................................................................161

4.5.2 Pruebas para atributos de cookies (OWASP-SM-002) ...............................................................................................171

4.5.3 Pruebas para fijacion de sesion (OWASP-SM-003) ....................................................................................................174

4.5.4 Pruebas para variables de sesion expuestas (OWASP-SM-004).................................................................................176

4.5.5 P