Pruebas De Seguridad
Páginas: 161 (40020 palabras)
Publicado: 8 de agosto de 2011
Índice de contenido
Datos económicos del software inseguro 4
¿Que es la comprobación? 5
¿Por que comprobar? 5
¿Cuando comprobar? 6
¿Qué debe ser comprobado? 6
PRINCIPIOS DE LA COMPROBACIÓN 6
No existe la bala de plata 6
Piensa estratégicamente, no tácticamente 7
Enfoque 7
Comprende el objeto de estudio 7
Utiliza las herramientas adecuadas 7
Documente los resultados delos pruebas 7
TÉCNICAS DE COMPROBACIÓN EXPLICADAS 8
INSPECCIONES Y REVISIONES MANUALES 9
Información General 9
MODELADO DE AMENAZAS 10
Información General 10
REVISIÓN DE CÓDIGO FUENTE 11
Información general 11
PRUEBAS DE INTRUSIÓN 12
Información General 12
LA NECESIDAD DE UN ENFOQUE EQUILIBRADO 13
Nota sobre los scanners de aplicaciones web 14
Taxonomías de Amenazas y 14Requerimientos Funcionales de Seguridad 15
Pruebas de Seguridad de los Programadores 15
Requerimientos en la presentación de informes 16
EL ENTORNO DE PRUEBAS OWASP 16
FASE 1: ANTES DE EMPEZAR EL DESARROLLO 17
FASE 1A: REVISIÓN DE ESTÁNDARES Y POLÍTICAS 17
FASE 1B - DESARROLLO DE MÉTRICAS Y CRITERIOS DE MEDICIÓN (ASEGURAR LA TRAZABILIDAD) 17
FASE 2 - DURANTE EL DISEÑO YDEFINICIÓN 17
FASE 2A: REVISIÓN DE LOS REQUISITOS DE SEGURIDAD 17
FASE 2B: REVISIÓN DE DISEÑO Y ARQUITECTURA 18
FASE 2C: CREACIÓN Y REVISIÓN DE MODELOS UML 18
FASE 2D: CREACIÓN Y REVISIÓN DE MODELOS DE AMENAZA 18
FASE 3: DURANTE EL DESARROLLO 18
FASE 3A: INSPECCIÓN DE CÓDIGO POR FASES 18
FASE 3B: REVISIONES DE CÓDIGO 18
FASE 4: DURANTE LA 19
FASE 4A: PRUEBAS DEINTRUSIÓN EN APLICACIONES 19
FASE 4B: COMPROBACIÓN DE GESTIÓN DE CONFIGURACIONES 19
FASE 5: MANTENIMIENTO Y OPERACIONES 19
FASE 5A: EJECUCIÓN DE REVISIONES DE LA ADMINISTRACIÓN OPERATIVA 19
FASE 5B: EJECUCIÓN DE COMPROBACIONES PERIÓDICAS DE MANTENIMIENTO 19
FASE 5C: ASEGURAR LA VERIFICACIÓN DE CAMBIOS 19
RECOPILACIÓN DE INFORMACIÓN 19
SPIDERS, ROBOTS, Y CRAWLERS(OWASP-IG-001) BREVE RESUMEN 20
PRUEBAS DE CAJA NEGRA Y EJEMPLO 21
IDENTIFICACIÓN DE PUNTOS DE ENTRADA DE LA APLICACIÓN (OWASP-IG-003) 21
DESCRIPCIÓN 21
PRUEBAS DE CAJA NEGRA Y EJEMPLO 23
PRUEBA DE CAJA GRIS Y EJEMPLO 23
ANÁLISIS DE CÓDIGOS DE ERROR (OWASP-IG-006) 24
DESCRIPCIÓN 25
PRUEBAS DE CAJA NEGRA Y EJEMPLO 27
PRUEBAS DE CAJA GRIS Y EJEMPLO 27
PRUEBAS DE GESTIÓN DE CONFIGURACIÓNDE LA INFRAESTRUCTURA 28
PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA APLICACIÓN (OWASP-CM-004) 29
DESCRIPCIÓN 29
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 29
PRUEBAS DE CAJA GRIS Y EJEMPLOS 30
PRUEBAS DE GESTIÓN DE EXTENSIONES DE ARCHIVO (OWASP-CM-005) 32
DESCRIPCIÓN 32
PRUEBAS DE CAJA NEGRA Y EJEMPLO 33
PRUEBAS DE CAJA BLANCA Y EJEMPLO 34
ARCHIVOS ANTIGUOS, COPIAS DE SEGURIDAD Y SINREFERENCIAS (OWASP-CM-006) 34
DESCRIPCIÓN 34
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 36
PRUEBAS DE CAJA GRIS Y EJEMPLOS 38
INTERFACES ADMINISTRATIVAS DE APLICACIÓN E INFRAESTRUCTURA (OWASP-CM-007) 38
DESCRIPCIÓN 38
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 39
PRUEBAS DE CAJA GRIS Y EJEMPLOS 39
MÉTODOS HTTP Y XST (OWASP-CM-008) 40
BREVE DESCRIPCIÓN DEL PROBLEMA 40
PRUEBAS DE CAJA NEGRA YEJEMPLO 41
PRUEBAS DE CAJA GRIS Y EJEMPLO 44
TRANSMISIÓN DE CREDENCIALES A TRAVÉS DE UN CANAL CIFRADO (OWASP-AT-001) 45
DESCRIPCIÓN 46
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 46
PRUEBAS DE CAJA GRIS Y EJEMPLOS 47
ENUMERACIÓN DE USUARIOS (OWASP-AT-002) 48
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 49
PRUEBAS DE CAJA GRIS Y EJEMPLO 50
CUENTAS DE USUARIO PREDETERMINADAS O ADIVINABLES (DICCIONARIO)(OWASP-AT- 51
PRUEBAS DE CAJA NEGRA Y EJEMPLO 52
PRUEBAS DE CAJA GRIS Y EJEMPLO 53
PRUEBAS DE FUERZA BRUTA (OWASP-AT-004) 53
PRUEBAS DE CAJA NEGRA Y EJEMPLO 54
Descubrimiento de métodos de autenticación 54
Autenticación HTTP 54
Autenticación de Acceso 54
Autenticación de Acceso 54
Autenticación de Acceso de Resumen 55
Autenticación basada en...
Datos económicos del software inseguro 4
¿Que es la comprobación? 5
¿Por que comprobar? 5
¿Cuando comprobar? 6
¿Qué debe ser comprobado? 6
PRINCIPIOS DE LA COMPROBACIÓN 6
No existe la bala de plata 6
Piensa estratégicamente, no tácticamente 7
Enfoque 7
Comprende el objeto de estudio 7
Utiliza las herramientas adecuadas 7
Documente los resultados delos pruebas 7
TÉCNICAS DE COMPROBACIÓN EXPLICADAS 8
INSPECCIONES Y REVISIONES MANUALES 9
Información General 9
MODELADO DE AMENAZAS 10
Información General 10
REVISIÓN DE CÓDIGO FUENTE 11
Información general 11
PRUEBAS DE INTRUSIÓN 12
Información General 12
LA NECESIDAD DE UN ENFOQUE EQUILIBRADO 13
Nota sobre los scanners de aplicaciones web 14
Taxonomías de Amenazas y 14Requerimientos Funcionales de Seguridad 15
Pruebas de Seguridad de los Programadores 15
Requerimientos en la presentación de informes 16
EL ENTORNO DE PRUEBAS OWASP 16
FASE 1: ANTES DE EMPEZAR EL DESARROLLO 17
FASE 1A: REVISIÓN DE ESTÁNDARES Y POLÍTICAS 17
FASE 1B - DESARROLLO DE MÉTRICAS Y CRITERIOS DE MEDICIÓN (ASEGURAR LA TRAZABILIDAD) 17
FASE 2 - DURANTE EL DISEÑO YDEFINICIÓN 17
FASE 2A: REVISIÓN DE LOS REQUISITOS DE SEGURIDAD 17
FASE 2B: REVISIÓN DE DISEÑO Y ARQUITECTURA 18
FASE 2C: CREACIÓN Y REVISIÓN DE MODELOS UML 18
FASE 2D: CREACIÓN Y REVISIÓN DE MODELOS DE AMENAZA 18
FASE 3: DURANTE EL DESARROLLO 18
FASE 3A: INSPECCIÓN DE CÓDIGO POR FASES 18
FASE 3B: REVISIONES DE CÓDIGO 18
FASE 4: DURANTE LA 19
FASE 4A: PRUEBAS DEINTRUSIÓN EN APLICACIONES 19
FASE 4B: COMPROBACIÓN DE GESTIÓN DE CONFIGURACIONES 19
FASE 5: MANTENIMIENTO Y OPERACIONES 19
FASE 5A: EJECUCIÓN DE REVISIONES DE LA ADMINISTRACIÓN OPERATIVA 19
FASE 5B: EJECUCIÓN DE COMPROBACIONES PERIÓDICAS DE MANTENIMIENTO 19
FASE 5C: ASEGURAR LA VERIFICACIÓN DE CAMBIOS 19
RECOPILACIÓN DE INFORMACIÓN 19
SPIDERS, ROBOTS, Y CRAWLERS(OWASP-IG-001) BREVE RESUMEN 20
PRUEBAS DE CAJA NEGRA Y EJEMPLO 21
IDENTIFICACIÓN DE PUNTOS DE ENTRADA DE LA APLICACIÓN (OWASP-IG-003) 21
DESCRIPCIÓN 21
PRUEBAS DE CAJA NEGRA Y EJEMPLO 23
PRUEBA DE CAJA GRIS Y EJEMPLO 23
ANÁLISIS DE CÓDIGOS DE ERROR (OWASP-IG-006) 24
DESCRIPCIÓN 25
PRUEBAS DE CAJA NEGRA Y EJEMPLO 27
PRUEBAS DE CAJA GRIS Y EJEMPLO 27
PRUEBAS DE GESTIÓN DE CONFIGURACIÓNDE LA INFRAESTRUCTURA 28
PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA APLICACIÓN (OWASP-CM-004) 29
DESCRIPCIÓN 29
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 29
PRUEBAS DE CAJA GRIS Y EJEMPLOS 30
PRUEBAS DE GESTIÓN DE EXTENSIONES DE ARCHIVO (OWASP-CM-005) 32
DESCRIPCIÓN 32
PRUEBAS DE CAJA NEGRA Y EJEMPLO 33
PRUEBAS DE CAJA BLANCA Y EJEMPLO 34
ARCHIVOS ANTIGUOS, COPIAS DE SEGURIDAD Y SINREFERENCIAS (OWASP-CM-006) 34
DESCRIPCIÓN 34
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 36
PRUEBAS DE CAJA GRIS Y EJEMPLOS 38
INTERFACES ADMINISTRATIVAS DE APLICACIÓN E INFRAESTRUCTURA (OWASP-CM-007) 38
DESCRIPCIÓN 38
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 39
PRUEBAS DE CAJA GRIS Y EJEMPLOS 39
MÉTODOS HTTP Y XST (OWASP-CM-008) 40
BREVE DESCRIPCIÓN DEL PROBLEMA 40
PRUEBAS DE CAJA NEGRA YEJEMPLO 41
PRUEBAS DE CAJA GRIS Y EJEMPLO 44
TRANSMISIÓN DE CREDENCIALES A TRAVÉS DE UN CANAL CIFRADO (OWASP-AT-001) 45
DESCRIPCIÓN 46
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 46
PRUEBAS DE CAJA GRIS Y EJEMPLOS 47
ENUMERACIÓN DE USUARIOS (OWASP-AT-002) 48
PRUEBAS DE CAJA NEGRA Y EJEMPLOS 49
PRUEBAS DE CAJA GRIS Y EJEMPLO 50
CUENTAS DE USUARIO PREDETERMINADAS O ADIVINABLES (DICCIONARIO)(OWASP-AT- 51
PRUEBAS DE CAJA NEGRA Y EJEMPLO 52
PRUEBAS DE CAJA GRIS Y EJEMPLO 53
PRUEBAS DE FUERZA BRUTA (OWASP-AT-004) 53
PRUEBAS DE CAJA NEGRA Y EJEMPLO 54
Descubrimiento de métodos de autenticación 54
Autenticación HTTP 54
Autenticación de Acceso 54
Autenticación de Acceso 54
Autenticación de Acceso de Resumen 55
Autenticación basada en...
Leer documento completo
Regístrate para leer el documento completo.