proyecto owasp
Páginas: 21 (5052 palabras)
Publicado: 28 de mayo de 2014
RECOPILACIÓN DE INFORMACIÓN
La primera fase en la evaluación de seguridad se centra en recoger tanta información como sea posible sobre una aplicación objetivo. La recopilación de información es un paso necesario en una prueba de intrusión.
SPIDERS, ROBOTS, Y CRAWLERS (OWASP-IG-001)
Esta fase del proceso de recopilación de información consiste en navegar y capturar recursos relacionadoscon la aplicación que está siendo probada
RECONOCIMIENTO MEDIANTE MOTORES DE BÚSQUEDA (OWASP-IG-002)
Los motores de búsqueda, como Google, pueden utilizarse para descubrir incidencias relacionadas con la estructura de la aplicación web, o páginas de error producidas por la aplicación que han sido expuestas públicamente.
IDENTIFICACIÓN DE PUNTOS DE ENTRADA DE LA APLICACIÓN (OWASP-IG-003)La enumeración tanto de la aplicación como de su entorno es un proceso clave antes de que cualquier tipo de ataque comience. Esta sección ayudara a identificar y catalogar cada sección de la aplicación que deba ser objeto de investigación una vez concluya el proceso de enumeración y acotación.
PRUEBAS PARA ENCONTRAR FIRMAS DE APLICACIONES WEB (OWASP-IG-004)
La determinación de la firma dela aplicación es el primer paso del proceso de Recopilación de Información; saber la versión y tipo de servidor web en ejecución permite a las personas realizando la prueba determinar vulnerabilidades conocidas, y los exploits adecuados a emplear durante las pruebas.
DESCUBRIMIENTO DE APLICACIONES (OWASP-IG-005)
Este tipo de análisis es importante, porque muchas veces no hay un enlace directoque conecte con el repositorio principal de la aplicación. El análisis de descubrimiento puede ser de utilidad para revelar detalles como puede ser la presencia de aplicaciones web empleadas para propósitos administrativos. Además, puede revelar la existencia de versiones antiguas de archivos o elementos, como scripts obsoletos no borrados creados durante las fases de desarrollo/pruebas, oresultado de operaciones de mantenimiento.
ANÁLISIS DE CÓDIGOS DE ERROR (OWASP-IG-006)
Durante una prueba de intrusión, las aplicaciones web pueden revelar información no dirigida a ser vista por el usuario final. Datos como pueden ser los códigos de error, pueden revelar información sobre las tecnologías y productos en uso por la aplicación. En muchos casos, los códigos pueden ser mostrados sinnecesidad de conocimientos especializados o herramientas, debido a un mal diseño y programación de la gestión de excepciones.
PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA INFRAESTRUCTURA
Los análisis sobre la infraestructura o la topología de la arquitectura pueden revelar datos importantes sobre una aplicación Web. Se pueden obtener datos como por ejemplo el código fuente, losmétodos HTTP permitidos, funcionalidades administrativas, métodos de autenticación y configuraciones de la infraestructura.
PRUEBAS DE SSL/TLS (OWASP-CM-001)
SSL y TLS son dos protocolos que proporcionan, con soporte criptográfico, canales seguros para la protección, confidencialidad y autenticación sobre la información que se transmite.
Por considerarse criticas estas implementaciones deseguridad, es importante verificar la utilización de un algoritmo de cifrado fuerte, y su correcta implementación.
PRUEBAS DEL RECEPTOR DE ESCUCHA DE LA BD (OWASP-CM-002)
Este componente podría revelar información sensible como por ejemplo las configuraciones o las instancias de base de datos en ejecución en caso de encontrarse incorrectamente configurado o analizado mediante técnicasmanuales o automáticas. La información mostrada podría ser de gran utilidad a la hora de realizar seguidamente otras pruebas que supongan un mayor impacto.
PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA INFRAESTRUCTURA (OWASP-CM-003)
La complejidad intrínseca de la infraestructura del servidor web interconectada y heterogénea, que podría contar con cientos de aplicaciones web, hace que la gestión...
La primera fase en la evaluación de seguridad se centra en recoger tanta información como sea posible sobre una aplicación objetivo. La recopilación de información es un paso necesario en una prueba de intrusión.
SPIDERS, ROBOTS, Y CRAWLERS (OWASP-IG-001)
Esta fase del proceso de recopilación de información consiste en navegar y capturar recursos relacionadoscon la aplicación que está siendo probada
RECONOCIMIENTO MEDIANTE MOTORES DE BÚSQUEDA (OWASP-IG-002)
Los motores de búsqueda, como Google, pueden utilizarse para descubrir incidencias relacionadas con la estructura de la aplicación web, o páginas de error producidas por la aplicación que han sido expuestas públicamente.
IDENTIFICACIÓN DE PUNTOS DE ENTRADA DE LA APLICACIÓN (OWASP-IG-003)La enumeración tanto de la aplicación como de su entorno es un proceso clave antes de que cualquier tipo de ataque comience. Esta sección ayudara a identificar y catalogar cada sección de la aplicación que deba ser objeto de investigación una vez concluya el proceso de enumeración y acotación.
PRUEBAS PARA ENCONTRAR FIRMAS DE APLICACIONES WEB (OWASP-IG-004)
La determinación de la firma dela aplicación es el primer paso del proceso de Recopilación de Información; saber la versión y tipo de servidor web en ejecución permite a las personas realizando la prueba determinar vulnerabilidades conocidas, y los exploits adecuados a emplear durante las pruebas.
DESCUBRIMIENTO DE APLICACIONES (OWASP-IG-005)
Este tipo de análisis es importante, porque muchas veces no hay un enlace directoque conecte con el repositorio principal de la aplicación. El análisis de descubrimiento puede ser de utilidad para revelar detalles como puede ser la presencia de aplicaciones web empleadas para propósitos administrativos. Además, puede revelar la existencia de versiones antiguas de archivos o elementos, como scripts obsoletos no borrados creados durante las fases de desarrollo/pruebas, oresultado de operaciones de mantenimiento.
ANÁLISIS DE CÓDIGOS DE ERROR (OWASP-IG-006)
Durante una prueba de intrusión, las aplicaciones web pueden revelar información no dirigida a ser vista por el usuario final. Datos como pueden ser los códigos de error, pueden revelar información sobre las tecnologías y productos en uso por la aplicación. En muchos casos, los códigos pueden ser mostrados sinnecesidad de conocimientos especializados o herramientas, debido a un mal diseño y programación de la gestión de excepciones.
PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA INFRAESTRUCTURA
Los análisis sobre la infraestructura o la topología de la arquitectura pueden revelar datos importantes sobre una aplicación Web. Se pueden obtener datos como por ejemplo el código fuente, losmétodos HTTP permitidos, funcionalidades administrativas, métodos de autenticación y configuraciones de la infraestructura.
PRUEBAS DE SSL/TLS (OWASP-CM-001)
SSL y TLS son dos protocolos que proporcionan, con soporte criptográfico, canales seguros para la protección, confidencialidad y autenticación sobre la información que se transmite.
Por considerarse criticas estas implementaciones deseguridad, es importante verificar la utilización de un algoritmo de cifrado fuerte, y su correcta implementación.
PRUEBAS DEL RECEPTOR DE ESCUCHA DE LA BD (OWASP-CM-002)
Este componente podría revelar información sensible como por ejemplo las configuraciones o las instancias de base de datos en ejecución en caso de encontrarse incorrectamente configurado o analizado mediante técnicasmanuales o automáticas. La información mostrada podría ser de gran utilidad a la hora de realizar seguidamente otras pruebas que supongan un mayor impacto.
PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA INFRAESTRUCTURA (OWASP-CM-003)
La complejidad intrínseca de la infraestructura del servidor web interconectada y heterogénea, que podría contar con cientos de aplicaciones web, hace que la gestión...
Leer documento completo
Regístrate para leer el documento completo.