04 enero 2010

Publicada la v2 de WASC Threat Classification

El WASC (Web Application Security Consortium) ha publicado la versión 2 de su clasificación de amenazas web. Como ellos mismos indican: "Es un esfuerzo por clasificar las debilidades y ataques que puedan llevar a comprometer un sitio web, sus datos o sus usuarios".

En general, cuando se hace una auditoría o cuando se establecen medidas de protección de aplicaciones web, se hace imprescindible seguir una guía o metodología que sea suficientemente completa y detallada para no dejarnos nada en el tintero que pueda llevar a un compromiso de la solución web (en caso de estar protegiéndola) u olvidando de auditar (en el caso de la auditoría). Organizaciones como WASC o como OWASP publican sus propias clasificaciones y guías de referencia que, dependiendo de cada profesional o cada compañía, se utilizarán unas u otras o incluso servirán como documentación de base para el desarrollo de guías propias.

Ya era hora que después de tanto tiempo (ya anunciamos tiempo atrás que estaban trabajando en ello) publicaran una versión actualizada. Esta nueva versión es mucho más concreta y precisa, entre otras, en cuanto a la clasificación de "amenazas" en "ataques" y "debilidades".

Para todo lo que siempre quisisteis saber y nunca os atrevisteis a preguntar sobre las vulnerabilidades web más conocidas, la versión online puede ser consultada aquí y la versión PDF la podéis descargar de aquí.