Difference between revisions of "Tabla De Contenidos Guia de Pruebas de OWASP v2"

From OWASP
Jump to: navigation, search
 
(8 intermediate revisions by one user not shown)
Line 69: Line 69:
 
[[Testing: Spidering and googling|4.2.3 "Spidering" y "Googling"]]
 
[[Testing: Spidering and googling|4.2.3 "Spidering" y "Googling"]]
  
[[Testing for Error Code|4.2.4 Análisis de códigos de error]]
+
[[Testing for Error Code (OWASP-IG-006)|4.2.4 Análisis de códigos de error]]
  
 
[[Testing for infrastructure configuration management  (OWASP-CM-003)|4.2.5 Pruebas de configuración en la infraestructura]]
 
[[Testing for infrastructure configuration management  (OWASP-CM-003)|4.2.5 Pruebas de configuración en la infraestructura]]
Line 165: Line 165:
 
[[Testing for DoS Failure to Release Resources (OWASP-DS-007)|4.7.6 Pruebas de NdS por fallas al liberar recursos]]
 
[[Testing for DoS Failure to Release Resources (OWASP-DS-007)|4.7.6 Pruebas de NdS por fallas al liberar recursos]]
  
[[Testing for Storing too Much Data in Session|4.7.7 Pruebas de demasiada información en la sesión]]
+
[[Testing for Storing too Much Data in Session (OWASP-DS-008)|4.7.7 Pruebas de demasiada información en la sesión]]
  
 
[[Testing for Web Services|'''4.8 Pruebas en servicios Web''']]
 
[[Testing for Web Services|'''4.8 Pruebas en servicios Web''']]
  
[[Testing for XML Structural|4.8.1 Pruebas estructurales de XML]]
+
[[Testing for XML Structural (OWASP-WS-003)|4.8.1 Pruebas estructurales de XML]]
  
[[Testing for XML Content-Level|4.8.2 Pruebas a nivel de contenido en XML ]]
+
[[Testing for XML Content-Level (OWASP-WS-004)|4.8.2 Pruebas a nivel de contenido en XML ]]
  
[[Testing for WS HTTP GET parameters/REST attacks|4.8.3 Pruebas de parametros Get de HTTP y REST ]]
+
[[Testing for WS HTTP GET parameters/REST attacks (OWASP-WS-005)|4.8.3 Pruebas de parametros Get de HTTP y REST ]]
  
[[Testing for Naughty SOAP Attachments|4.8.4 Pruebas de datos adjuntos en SOAP]]
+
[[Testing for Naughty SOAP Attachments   (OWASP-WS-006)|4.8.4 Pruebas de datos adjuntos en SOAP]]
  
[[Testing for WS Replay|4.8.5 Pruebas de repeticion en WebServices]]
+
[[Testing for WS Replay   (OWASP-WS-007)|4.8.5 Pruebas de repeticion en WebServices]]
  
 
[[Testing_for_AJAX:_introduction|'''4.9 Pruebas en AJAX''']]
 
[[Testing_for_AJAX:_introduction|'''4.9 Pruebas en AJAX''']]
  
[[Testing for AJAX Vulnerabilities|4.9.1 Vulnerabilidades de AJAX]]
+
[[Testing for AJAX Vulnerabilities (OWASP-AJ-001)|4.9.1 Vulnerabilidades de AJAX]]
  
[[Testing for AJAX|4.9.2 Como probar AJAX]]
+
[[Testing for AJAX (OWASP-AJ-002)|4.9.2 Como probar AJAX]]
  
 
==[[Writing Reports: value the real risk |5. Escribiendo Reportes: valor del riesgo real ]]==
 
==[[Writing Reports: value the real risk |5. Escribiendo Reportes: valor del riesgo real ]]==

Latest revision as of 09:29, 2 February 2009


1. Portada

1.1 Sobre el proyecto de pruebas de OWASP

1.1.1 Derechos de Autor

1.1.2 Editores

1.1.3 Autores y revisores

1.1.4 Historial de revisión

1.1.5 Marcas Registradas

1.2 Sobre el proyecto abierto en seguridad de aplicaciones

1.2.1 Introducción

1.2.2 Estructura

1.2.3 Licensias

1.2.4 Participación y Membrecías

1.2.5 Proyectos

1.2.6 Política de privacidad de OWASP


2. Presentación

2.1 El proyecto de pruebas de OWASP

2.2 Principios de las pruebas

2.3 Explicación de las técnicas de pruebas


3. El marco de pruebas de OWASP

3.1. Descripción

3.2. Fase 1: Anstes que empiece el desarrollo

3.3. Fase 2: Durante la definición y diseño

3.4. Fase 3: Durante el desarrollo

3.5. Fase 4: Durante la publicación

3.6. Fase 5: Mantenimiento y operaciones

3.7. Un típico flujo de trabajo en el ciclo de desarrollo

4. Pruebas de intrusion en aplicaciones Web

4.1 Presentación y objetivos

4.2 Obteniendo información

4.2.1 Pruebas de identificación de aplicaciones Web

4.2.2 Descubrimiento de aplicaciones

4.2.3 "Spidering" y "Googling"

4.2.4 Análisis de códigos de error

4.2.5 Pruebas de configuración en la infraestructura

4.2.5.1 Pruebas de SSL/TLS

4.2.5.2 Pruebas en el "listener" de bases de datos

4.2.6 Pruebas de configuración en la aplicación

4.2.6.1 Pruebas sobre el manejo de extensiones de archivos

4.2.6.2 Archivos viejo, de respaldo o sin referencia

4.3 Pruebas de reglas de negocio

4.4 Pruebas de autenticación

4.4.1 Probar cuentas de usuario previsibles (de diccionario)

4.4.2 Pruebas de fuerza bruta

4.4.3 Pruebas para sobrepasar el esquema de autentificación

4.4.4 Pruebas de acceso a directorios protegidos/inclusión de archivos

4.4.5 Pruebas en "olvide mi contraseña" y "restauración de contraseña" vulnerables

4.4.6 Pruebas de terminación de sesión y manejo de memoria de acceso rápido del navegador

4.5 Pruebas de manejo de sesión

4.5.1 Pruebas del esquema de manejo de sesión

4.5.2 Probando manipulación de testigos de sessión y cookies

4.5.3 Probando variables de sesion expuestas

4.5.4 Probando CSRF

4.5.5 Probando vulnerabilidades de HTTP

4.6 Pruebas de validación de datos

4.6.1 Probando "Cross Site Scripting"

4.6.1.1 Probando metodos HTTP y XST (por sus siglas en inglés)

4.6.2 Probando inyección de SQL

4.6.2.1 Pruebas para Oracle

4.6.2.2 Pruebas para MySql

4.6.2.3 Pruebas para Sql Server

4.6.3 Pruebas de inyección de LDAP

4.6.4 Pruebas de inyección de ORM

4.6.5 Pruebas de inyección de XML

4.6.6 Pruebas de inyección en SSI

4.6.7 Pruebas de inyección de XPath

4.6.8 Inyección en IMAP/SMTP

4.6.9 Pruebas de inyección de código

4.6.10 Pruebas de inyección de comandos

4.6.11 Pruebas de desbordamiento de memoria

4.6.11.1 Pruebas de desbordamiento de Heap

4.6.11.2 Pruebas de desbordamiento de pila

4.6.11.3 Pruebas de formato de cadenas

4.6.12 Probando incubación de vulnerabilidades

4.7 Pruebas de negación de servicio (NdS)

4.7.1 Pruebas de NdS bloqueando cuentas de cliente

4.7.2 Pruebas de NdS en desbordamientos de meoria

4.7.3 Pruebas de NdS en asignación de objectos específicos al usuario

4.7.4 Pruebas de entradas de usuario como contadores en ciclos

4.7.5 Pruebas sobre escritura en disco de datos proveídos por el usuario

4.7.6 Pruebas de NdS por fallas al liberar recursos

4.7.7 Pruebas de demasiada información en la sesión

4.8 Pruebas en servicios Web

4.8.1 Pruebas estructurales de XML

4.8.2 Pruebas a nivel de contenido en XML

4.8.3 Pruebas de parametros Get de HTTP y REST

4.8.4 Pruebas de datos adjuntos en SOAP

4.8.5 Pruebas de repeticion en WebServices

4.9 Pruebas en AJAX

4.9.1 Vulnerabilidades de AJAX

4.9.2 Como probar AJAX

5. Escribiendo Reportes: valor del riesgo real

5.1 Como valuar el riesgo real

5.2 Como escribir el reporte de pruebas


Apéndice A: Herramientas de pruebas

  • Herramientas de pruebas de "caja negra"
  • Analizadores de código fuente
  • Otras herramientas


Apéndice B: Lecturas recomendadas

  • Documentos Técnicos
  • Libros
  • Sitiós útiles


Apéndice C: Vectores de fuzzing

  • Categorias de fuzzing
    • Fuzzing recursivo
    • Fuzzing "Replasivo"
  • Cross Site Scripting (XSS)
  • Errores de desbordamiento de memoria y formato de cadenas
    • Desbordamientos de memoria
    • Errores de formato de cadenas
    • Desbordamiento en enteros
  • Inyección de SQL
    • Inyección pasivas de SQL
    • Inyección activas de SQL
  • Inyección de LDAP
  • Inyección de XPATH