Vaya dos noticias may\u00c3\u00basculas tenemos hoy sobre seguridad y auditor\u00c3\u00ada de aplicaciones Web.<\/p>\n
Por un lado comentan en SecuriTeam<\/a>, autores de un gran paper<\/em> previo<\/a>, que Honeynet ha sacado un nuevo documento, muy en su l\u00c3\u00adnea habitual, titulado Know your Enemy: Web Application Threats<\/a>, y con asuntos tan interesantes como la inyecci\u00c3\u00b3n de c\u00c3\u00b3digo, la inyecci\u00c3\u00b3n SQL, la inclusi\u00c3\u00b3n de c\u00c3\u00b3digo remoto, Cross-Site Scripting, t\u00c3\u00a9cnicas de descubrimiento \u00e2\u20ac\u00a6 una aut\u00c3\u00a9ntica joya. El paper hace un uso intensivo de una herramienta muy efectiva en este tipo de an\u00c3\u00a1lisis, el Google Hack Honeypot<\/a>, del que ya hablamos en este blog <\/a>en una ocasi\u00c3\u00b3n anterior.<\/p>\n Honeynet es de estos grupos de investigaci\u00c3\u00b3n que no defrauda: genera informaci\u00c3\u00b3n libre de primera mano, muy completa t\u00c3\u00a9cnicamente y procede de aut\u00c3\u00a9nticos investigadores de campo. Esencial en la biblioteca de cualquier usuario interesado en la seguridad. \u00c2\u00bfQu\u00c3\u00a9 mas se podr\u00c3\u00ada pedir?<\/p>\n Pues s\u00c3\u00ad, se podr\u00c3\u00ada pedir m\u00c3\u00a1s. Y ese algo m\u00c3\u00a1s es que la gente que lidera la investigaci\u00c3\u00b3n en estos temas publique un m\u00c3\u00a9todo para el an\u00c3\u00a1lisis de aplicaciones Web. Pues nada, a festejar que tenemos la versi\u00c3\u00b3n 2.0 de la Testing Guide<\/em> OWASP<\/a> oficialmente disponible. Open Web Application Security Project<\/em> (OWASP) es una gu\u00c3\u00ada y conjunto de herramientas para la realizaci\u00c3\u00b3n de auditor\u00c3\u00adas y revisiones t\u00c3\u00a9cnicas de aplicativos Web.<\/p>\n Con Webscarab<\/a> como principal baluarte en lo que a herramientas se refiere, esta extraordinaria metodolog\u00c3\u00ada, conjunto de herramientas y gu\u00c3\u00ada de testing<\/em> proporciona paso a paso todos los elementos que deben ser ejecutados en un an\u00c3\u00a1lisis Web, con el aliciente de que todo lo que forma parte de OWASP<\/a> es material libre.<\/p>\n Con gu\u00c3\u00adas y herramientas de esta calidad, cualquier usuario podr\u00c3\u00ada hacer un an\u00c3\u00a1lisis Web. Es cuestion de paciencia, de ir probando y de ir cogiendo pr\u00c3\u00a1ctica con el m\u00c3\u00a9todo, ya que en s\u00c3\u00adntesis, es siempre el mismo. La experiencia es siempre un grado, pero nunca es tarde para ir atesor\u00c3\u00a1ndola.<\/p>\n