english

En mi nuevo trabajo, y durante los últimos meses, he venido realizando baterías de pruebas de intrusión de un nuevo tipo, para mí: auditorias de aplicación web.

Una de los problemas ante los que se enfrenta cualquier profesional que quiere realizar una evaluación de la seguridad es el conjunto de herramientas que existen para realizar pruebas específicas. ¿Se os ha ocurrido alguna vez pensar en como repetir 10000 veces una misma operación de loguearse y cerrar la sesión en una aplicación pero con un parámetro cambiado para hacer fuzzing? O ¿Como tener 4 proxys diferentes y cambiar entre ellos rápidamente, según el análisis, captura o modificación de los datos que queremos realizar? Vía un consejo de un colega de E&Y (muchas gracias, César), acabé echando un vistazo a la página de extensiones de Firefox. Y, para mi sopresa, existen un montón de herramientas de ayuda al programador que permiten realizar un montón de comprobaciones de debugging de código, pero que también sirven para un pen-testing. Al final, resulta que Firefox se puede "tunear" y convertirlo en un framework muy, muy completo para realizar pruebas de intrusión. Por si a alguien le pueden servir de ayuda, he hecho una lista de las extensiones más interesantes, y también de unas cuantas utilidades más que, aunque no sean extensiones para Firefox, pueden ayudar mucho a la hora de realizar pentest de aplicaciones web.

[read more]

Bien está lo que bien acaba. Y es que ayer, por fin, terminó un largo trabajo de colaboración, coordinación y revisión. Los últimos meses he estado llevando a cabo, junto con varias personas de la lista de distribución de owasp-es, la traducción al español de la versión 2 de la "Owasp Testing guide v2.0" (podéis ver el proceso de traducción en http://wiki.seriousworks.net) .


El proyecto OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye la Guía de pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones.

A la espera de que salga publicada oficialmente en la página del OWASP, podéis descargar aquí la versión para imprimir:

- versión en .doc - firma MD5 / SHA1
- versión en .pdf - firma MD5 / SHA1

Una buena noticia en el mundo de la seguridad, más todavía para los adeptos a la filosofía Open Source y full disclosure. El proyecto Openvas resurge de sus cenizas:

[read more]