Auditoría de aplicaciones Web y nueva versión de la guía de testing OWASP

Vaya dos noticias mayúsculas tenemos hoy sobre seguridad y auditoría de aplicaciones Web.

Por un lado comentan en SecuriTeam, autores de un gran paper previo, que Honeynet ha sacado un nuevo documento, muy en su línea habitual, titulado Know your Enemy: Web Application Threats, y con asuntos tan interesantes como la inyección de código, la inyección SQL, la inclusión de código remoto, Cross-Site Scripting, técnicas de descubrimiento … una auténtica joya. El paper hace un uso intensivo de una herramienta muy efectiva en este tipo de análisis, el Google Hack Honeypot, del que ya hablamos en este blog en una ocasión anterior.

Honeynet es de estos grupos de investigación que no defrauda: genera información libre de primera mano, muy completa técnicamente y procede de auténticos investigadores de campo. Esencial en la biblioteca de cualquier usuario interesado en la seguridad. ¿Qué mas se podría pedir?

Pues sí, se podría pedir más. Y ese algo más es que la gente que lidera la investigación en estos temas publique un método para el análisis de aplicaciones Web. Pues nada, a festejar que tenemos la versión 2.0 de la Testing Guide OWASP oficialmente disponible. Open Web Application Security Project (OWASP) es una guía y conjunto de herramientas para la realización de auditorías y revisiones técnicas de aplicativos Web.

Con Webscarab como principal baluarte en lo que a herramientas se refiere, esta extraordinaria metodología, conjunto de herramientas y guía de testing proporciona paso a paso todos los elementos que deben ser ejecutados en un análisis Web, con el aliciente de que todo lo que forma parte de OWASP es material libre.

Con guías y herramientas de esta calidad, cualquier usuario podría hacer un análisis Web. Es cuestion de paciencia, de ir probando y de ir cogiendo práctica con el método, ya que en síntesis, es siempre el mismo. La experiencia es siempre un grado, pero nunca es tarde para ir atesorándola.

Fuente: http://www.sahw.com/wp/