Búsqueda de vulnerabilidades habituales en aplicaciones web¶

Auditoría de Aplicativos Web y Pruebas de Seguridad¶

La auditoría de aplicaciones web representa una de las áreas más importantes dentro del hacking ético y la seguridad ofensiva. A pesar de que en los últimos años han cobrado relevancia otros ejercicios de seguridad como las pruebas de intrusión (pentesting) interno/externo y los Red Team Exercises, la búsqueda de vulnerabilidades en aplicaciones web sigue siendo una de las principales preocupaciones de las empresas.

Para garantizar la seguridad de un aplicativo web, se deben realizar una serie de pruebas de seguridad estructuradas que permitan evaluar su resistencia ante ataques.

Metodología basada en OWASP¶

Para estructurar el proceso de auditoría, utilizaremos la metodología propuesta en la Guía de Pruebas de Seguridad en Aplicaciones Web de OWASP (OWASP Web Security Testing Guide, WSTG). Esta guía establece un conjunto de pruebas fundamentales para evaluar la seguridad de una aplicación web y su infraestructura subyacente.

flowchart TB %% Agrupación de nodos en dos filas sin conexiones subgraph A[Pruebas de configuración y despliegue] B[Pruebas de gestión de identidad] C[Pruebas de autenticación] D[Pruebas de autorización] end subgraph E[Gestión de sesiones] F[Validación de los puntos de entrada] G[Análisis de los códigos de error] H[Vulnerabilidades en la lógica de negocio] end %% Estilos uniformes para todos los nodos classDef estilo fill:#cce5ff,stroke:#007bff,stroke-width:2px,color:#000 class A,B,C,D,E,F,G,H estilo

A continuación, se detallarán las pruebas más relevantes que deben realizarse en una auditoría de seguridad web.