OWASP Testing
Una prueba de seguridad es un método para evaluar el nivel de seguridad de un sistema informático o una red mediante la validación y verificación sistemática de la eficacia de los controles de seguridad de la aplicación.
El proceso de testing implica un análisis exhaustivo de la aplicación en busca de debilidades, fallas técnicas o vulnerabilidades. Cualquier problema de seguridad que se encuentre debe ser presentado al propietario del sistema, junto con una evaluación del impacto, una propuesta de mitigación o una solución técnica.
![](https://www.newcontrol.com.pe/wp-content/uploads/2022/03/image-2.png)
OWASP Web Security Testing Guide
La metodología de prueba de seguridad de la aplicación web de OWASP explica cómo probar la evidencia de vulnerabilidades dentro de la aplicación debido a deficiencias con los controles de seguridad identificados.
- 01. Recopilación de información
- 02. Configuración e implementación gestión de pruebas
- 03. Pruebas de administración de identidad
- 04. Pruebas de Autenticación
- 05. Pruebas de autorización
- 06. Pruebas de administración de sesiones
- 07. Pruebas de validación de entradas
- 08. Pruebas de manejo de errores
- 09. Pruebas para criptografía débil
- 10. Pruebas de lógica del negocio
- 11. Pruebas de lado del cliente
- 12. Pruebas de APIs
OWASP Mobile Security Testing Guide
Se realizan pruebas de seguridad de aplicaciones móviles e ingeniería inversa para dispositivos móviles iOS y Android según la necesidad de la empresa con el siguiente contenido:
- Interiores de la plataforma móvil
- Pruebas de seguridad en el ciclo de vida de desarrollo de aplicaciones móviles
- Pruebas de seguridad estáticas y dinámicas básicas
- Ingeniería inversa y manipulación de aplicaciones móviles
- Evaluación de protecciones de software
- Casos de prueba detallados que se corresponden con los requisitos del Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS):
- V1: Requisitos de Arquitectura, Diseño y Modelado de Amenazas
- V2: Requerimientos de Almacenamiento de datos y Privacidad
- V3: Requerimientos de Criptografía
- V4: Requerimientos de Autenticación y Manejo de Sesiones
- V5: Requerimientos de Comunicación a través de la red
- V6: Requerimientos de Interacción con la Plataforma
- V7: Requerimientos de Calidad de Código y Configuración del Compilador
- V8: Requerimientos de Resistencia ante la Ingeniería Inversa
![](https://www.newcontrol.com.pe/wp-content/uploads/2022/03/image-3-1024x452.png)