Si conoces OWASP, seguramente sabes que se trata de la comunidad de Hacking web más grande del mundo.
Son muchos los proyectos que tienen publicados en su sitio web, siendo la guía OWASP Top 10 el más conocido.
Desde luego debes conocer el OWASP Top 10 si te dedicas al pentesting web, pero no es suficiente para realizar un trabajo profesional.
Es una guía que está muy bien, ya que describe las vulnerabilidades y pruebas más comunes en las aplicaciones web modernas, pero hay muchas más verificaciones que debes realizar, no basta con limitarte a las 10 del listado.
En #OWASP son conscientes de ello y por ese motivo existe la WSTG (Web Security Testing Guide). Es una guía muy completa que no solamente abarca las fases de un #pentest web, sino que además, aporta información sobre buenas prácticas en las etapas de análisis, diseño, construcción y testing.
En otras palabras, es una guía que tiene una filosofía 100% DevSecOps.
La guía WSTG es, probablemente, el mejor recurso que tienes disponible actualmente en el campo del pentesting web. Mi consejo es que si realmente te interesa la seguridad en servidores y aplicaciones web, lo conozcas en detalle para que lo puedas aplicar en tus auditorías web.
Las categorías de dicha guía, a modo resumen, son las siguientes:
• Reconocimiento de fugas de información usando motores de búsqueda
• Fingerprint del servidor web
• Revisión de los metarchivos del servidor web para detectar fugas de información
• Enumerar aplicaciones en el servidor web
• Revisar el contenido de la página web para detectar fugas de información
• Identificar los puntos de entrada de la aplicación
• Mapear las rutas de ejecución en la aplicación
• Fingerprinting del framework y tecnologías usadas en el servidor
• Detalles sobre la arquitectura de la aplicación web
• Configuración de la infraestructura de red
• Configuración de la plataforma usada por la aplicación
• Extensiones de ficheros e información sensible
• Enumerar la infraestructura y páginas web de administración
• Probar los métodos HTTP
• Verificar los detalles de configuración de HSTS
• Probar aplicaciones Cross Domain Policy
• Permisos en ficheros
• Enumerar subdominios y servidores relacionados
• Pruebas sobre el almacenamiento en la nube
• Mapear los roles y perfiles que gobiernan la aplicación
• Probar el proceso de registro de usuarios
• Probar los procesos de aprovisionamiento de cuentas
• Probar la enumeración de cuentas de usuarios
• Detectar políticas débiles o no forzadas en nombres de usuarios y contraseñas.
• Pruebas sobre las credenciales enviadas en un canal de comunicación cifrado
• Detectar credenciales por defecto
• Identificar mecanismos de bloqueo débiles
• Pruebas de evasión sobre los mecanismos de autenticación
• Identificar y probar las funciones para recordar contraseña débiles
• Pruebas sobre debilidades en la caché de los navegadores
• Pruebas sobre políticas de contraseñas débiles
• Pruebas sobre la respuesta a las preguntas de seguridad
• Pruebas sobre el cambio de contraseñas y funcionalidades de reseteo
• Identificar mecanismos de autenticación débil en un canal alternativo
• Detectar vulnerabilidades de inclusión de ficheros y directorio transversal
• Pruebas sobre la evasión del esquema de autorización
• Pruebas de elevación de privilegios
• Identificar vulnerabilidades de IDOR (Insecure Direct Object Reference)
Gestión de la sesión
• Identificar y probar el esquema utilizado para la gestión de sesiones
• Pruebas sobre atributos de las cookies
• Detectar vulnerabilidades de fijación de sesión
• Detectar variables de sesión expuestas
• Detectar vulnerabilidades CSRF
• Pruebas sobre la funcionalidad de cierre de sesión
• Pruebas sobre el timeout de la sesión
• Pruebas sobre la reutilización de sesiones
• Pruebas sobre el secuestro de sesiones
• Pruebas de Cross Site Scripting almacenado y reflejado
• Pruebas de manipulación de verbos HTTP
• Prueba de contaminación de parámetros HTTP
• Pruebas de inyección SQL y NoSQL
• Pruebas de ataques en el lado del cliente
• Prueba de inyección LDAP
• Prueba de inyección XML
• Prueba de inyección de SSI
• Prueba de inyección XPath
• Prueba de inyección IMAP y SMTP
• Prueba de inyección de código
• Prueba de inclusión de archivos locales y remotos
• Prueba de inyección de comandos
• Prueba de inyección de cadenas de formato
• Pruebas de vulnerabilidad incubada
• Pruebas de vulnerabilidades HTTP Splitting y Smuggling
• Prueba de peticiones HTTP entrantes
• Prueba de inyección en la cabecera “host”
• Pruebas de SSTI (Server-Side Template Injection)
• Pruebas de falsificación de solicitudes del lado del servidor (SSRF)
• Prueba de gestión inadecuada de errores
• Prueba de Stack Traces
• Pruebas de seguridad sobre la capa de transporte
• Pruebas de “Padding Oracle”
• Identificar el envío de información confidencial a través de canales no cifrados
• Identificar algoritmos de cifrado débiles
• Probar la validación de datos en la lógica de negocio
• Probar de capacidad para falsificar solicitudes y analizar las respuestas del servidor
• Realizar comprobaciones de integridad
• Realizar pruebas de temporización del proceso y condiciones de carrera
• Pruebas sobre el número de veces que se puede usar una función y determinar los límites
• Pruebas para identificar la posibilidad de evadir o hacer un mal uso de los flujos de trabajo de la aplicación
• Pruebas de defensa contra el mal uso de la aplicación
• Pruebas de carga de archivos con contenidos inesperados
• Pruebas de carga de archivos maliciosos
• Cross Site Scripting basado en DOM
• Prueba de ejecución de JavaScript
• Prueba de inyección HTML
• Prueba de redirección de URLs en el lado del cliente
• Pruebas de inyección CSS
• Pruebas de manipulación de recursos del lado del cliente
• Prueba de uso compartido de recursos de origen cruzado
• Prueba de Cross Site Flashing
• Pruebas de Clickjacking (secuestro de clicks)
• Pruebas de seguridad en las comunicaciones con WebSockets
• Pruebas de seguridad en mensajería web
• Pruebas sobre el almacenamiento en el navegador
• Pruebas de Cross Site Script Inclusion (XSSI)
Recuerda que tienes todas las formaciones y packs de The Hacker Way.
Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.
Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos
Por otro lado, puedes registrarte en la comunidad THW: https://comunidad.thehackerway.es/registro
En este sitio web recibirás anuncios sobre ofertas de trabajo y novedades del sector, además podrás participar en los foros y chat.
Puedes acceder a los cursos cortos y artículos con una suscripción: https://comunidad.thehackerway.es/suscripcion
Los contenidos a los que tendrás acceso te serán útiles para comprender por qué no consigues trabajo en el sector o mejoras profesionalmente y, por supuesto, proponerte ideas para mejorar esa situación.
¡Un saludo y Happy Hack!
Adastra.