20 septiembre 2014

Publicada la OWASP Testing Guide v4

Han pasado ya 6 años desde la última versión estable de la Guía de pruebas OWASP, la v3. Esta semana, se ha anunciado por fin la OWASP Testing Guide versión 4 (por el momento únicamente en inglés). Así lo ha anunciado Mateo Mucci, uno de los líderes del proyecto en un post del blog MindedSecurity.


Como os hemos hablado en multitud de ocasiones en Security By Default, la guía de pruebas OWASP contempla un conjunto de puntos de control que engloban las buenas prácticas de seguridad en aplicaciones web, convirtiéndola en una metodología muy completa y utilizada por los profesionales de la seguridad.

Como principales novedades, además de la reorganización de categorías y subcategorías de algunas pruebas, se ha puesto especial hincapié en los siguientes puntos:

Además, se ha modificado y mejorado el contenido de los puntos de control habituales, haciendo un total de 87 puntos de control (frente a los 64 de la versión anterior). Se ha incluido información con referencias a otros proyectos importantes de OWASP, como son las guías de programación segura y para desarrolladores.

Para esta versión 4 de la guía, encontraremos las siguientes categorías (en inglés):
  1. Information Gathering (OTG-INFO)
  2. Configuration and Deployment Management Testing (OTG-CONFIG)
  3. Identity Management Testing (OTG-IDENT)
  4. Authentication Testing (OTG-AUTHN)
  5. Authorization Testing (OTG-AUTHZ)
  6. Session Management Testing (OTG-SESS)
  7. Input Validation Testing (OTG-INPVAL)
  8. Testing for Error Handling (OTG-ERR)
  9. Testing for weak Cryptography (OTG-CRYPST)
  10. Business Logic Testing (OTG-BUSLOGIC)
  11. Client Side Testing (OTG-CLIENT)
Cabe destacar la gran revisión que se la ha dado a la categoría "Business Logic" (Lógica de negocio), que ha pasado de tener una única subcategoría general en la versión 3 a 9 subcategorías en la versión 4.

Como es habitual, la guía esta disponible tanto en PDF para su descarga, como en versión navegable dentro de la wiki del proyecto.

Nos queda esperar a la versión en castellano.