Vaya dos noticias mayúsculas tenemos hoy sobre seguridad y auditorÃa de aplicaciones Web.
Por un lado comentan en SecuriTeam, autores de un gran paper previo, que Honeynet ha sacado un nuevo documento, muy en su lÃnea habitual, titulado Know your Enemy: Web Application Threats, y con asuntos tan interesantes como la inyección de código, la inyección SQL, la inclusión de código remoto, Cross-Site Scripting, técnicas de descubrimiento … una auténtica joya. El paper hace un uso intensivo de una herramienta muy efectiva en este tipo de análisis, el Google Hack Honeypot, del que ya hablamos en este blog en una ocasión anterior.
Honeynet es de estos grupos de investigación que no defrauda: genera información libre de primera mano, muy completa técnicamente y procede de auténticos investigadores de campo. Esencial en la biblioteca de cualquier usuario interesado en la seguridad. ¿Qué mas se podrÃa pedir?
Pues sÃ, se podrÃa pedir más. Y ese algo más es que la gente que lidera la investigación en estos temas publique un método para el análisis de aplicaciones Web. Pues nada, a festejar que tenemos la versión 2.0 de la Testing Guide OWASP oficialmente disponible. Open Web Application Security Project (OWASP) es una guÃa y conjunto de herramientas para la realización de auditorÃas y revisiones técnicas de aplicativos Web.
Con Webscarab como principal baluarte en lo que a herramientas se refiere, esta extraordinaria metodologÃa, conjunto de herramientas y guÃa de testing proporciona paso a paso todos los elementos que deben ser ejecutados en un análisis Web, con el aliciente de que todo lo que forma parte de OWASP es material libre.
Con guÃas y herramientas de esta calidad, cualquier usuario podrÃa hacer un análisis Web. Es cuestion de paciencia, de ir probando y de ir cogiendo práctica con el método, ya que en sÃntesis, es siempre el mismo. La experiencia es siempre un grado, pero nunca es tarde para ir atesorándola.
Fuente: http://www.sahw.com/wp/