El martes 16 de Diciembre, se anunciaba en la lista de correo de owasp-testing, dedicada a la famosa "testing guide" o "guía de pruebas" del proyecto OWASP, que por fin quedaba disponible su versión final 3.
Un proyecto que comenzó sobre el verano, y que tras el éxito del volumen 2, nos deja una versión con más de 300 páginas y 66 puntos de control que nos permitirán implantar esta metodología que describe las técnicas más comunes para el análisis tanto de aplicaciones web como de servicios web.
Entre sus categorías se encuentran las referentes a la recopilación de información, pruebas tanto de autenticación como de permisos, gestión de sesiones, validación de datos de entrada y pruebas de denegación de servicio. Y como no, debido a su auge y expansión gracias al mundo 2.0, pruebas referentes a la tecnología AJAX.
Esta vez, se ha optado por asignar a cada uno de los puntos de control un identificador único, en base a su categoría. Por ejemplo, para describir el punto sobre ataques de Cross-Site Scripting persistentes (Testing Stored Cross-Site Scripting), perteneciente a la categoría de validación de datos de entrada (Data Validation, DV), a este se le asigna el identificador OWASP-DV-002
La guía está disponible en formato PDF, y de momento, en inglés, quedando pendiente su traducción al castellano, al igual que se hizo para versiones anteriores.
0 comments :
Publicar un comentario