El pasado 3 de diciembre OWASP anunció el lanzamiento de una nueva versión de la Web Security Testing Guide (WSTG), una guía creada en 2013 que aporta información específica y técnica sobre los controles de seguridad que se deben contemplar a la hora de realizar tareas de pentesting en aplicaciones web. A continuación, te contamos algunos de los cambios que se introducen en esta edición y analizamos el valor que tiene la WSTG para todos los actores involucrados en la seguridad de aplicaciones web.

Portada de la versión 4.2 de la Web Security Testing Guide de OWASP

La WSTG (Web Security Testing Guide) nace en el año 2013 como una guía complementaria al OWASP TOP 10 y que “reemplazó” a las guías OTG (guías genéricas de prueba). Este documento provee información más específica y técnica sobre los controles de seguridad que se deben contemplar a la hora de realizar pentesting en aplicaciones web. Además, a la WSTG se le suma un complemento llamado OWASP Web Application Penetration Checklist que nos ayudara a contabilizar y categorizar los controles de seguridad que debemos ejecutar según OWASP TOP 10 y la información de la WSTG.

OWASP Web Application Penetration Checklist basado en OWASP TOP 10 y WSTG

Observando el esquema podemos ver como en la guía se ordena la información que OWASP propone a la hora de realizar pruebas de seguridad sobre aplicaciones web. Sin dudas, OWASP TOP 10 es un acercamiento general sobre los 10 riesgos de seguridad más críticos en aplicaciones web que aporta una visión macro a los auditores sobre los aspectos más importantes que se deben considerar a la hora de testear una aplicación web.

Según explicó Victoria Drake a través de una publicación en su blog, la versión 4.2 de la guía contiene modificaciones relevantes respecto a su antecesora versión e integra en su estructura nuevos escenarios de prueba y actualización de contenido. Además, ofrece una experiencia de lectura mejorada con un estilo de escritura y diseño más claros, siendo este último aspecto el más destacable dado que siempre ha sido uno de los motivos más contundentes para que los auditores desestimen su lectura —o que al menos se aburran rápidamente.

Esta nueva versión íntegra una navegación más sencilla e instrucciones de prueba más consistentes. Por otra parte, tal como menciona Drake, con las nuevas mejoras en el flujo de trabajo de desarrollo le resultará más fácil a los nuevos colaboradores ayudar a crear versiones futuras del WSTG, ya que cuentan con una guía para colaboradores y una guía de estilo clara y concisa que contribuye a escribir nuevas pruebas o garantizar que los escenarios existentes se mantengan actualizados.

A esto se agrega que los mantenedores principales, Rick Mitchell, Elie Saad, Rejah Rehim y Victoria Drake, han implementado también procesos modernos, como la integración continua con GitHub Actions, haciendo que los nuevos flujos de trabajo ayuden a crear archivos PDF y faciliten la revisión de nuevas incorporaciones y actualizaciones.

Sin duda alguna, para todo aquel que quiera realizar auditorías de seguridad sobre aplicaciones web, el uso de una guía con las características de la WSTG se convierte en esencial para tomar referencias y adoptar una estructura de trabajo ordenada y actualizada a los tiempos que corren hoy.

Una vez más, con el lanzamiento de una versión de WSTG se demuestra que el trabajo en equipo genera resultados sorprendentes y es la evidencia de que todos podemos aportar conocimientos para que seamos mejores profesionales y podamos cuidarnos entre todos. Por esta misma razón, si  deseas sumarte al  aporte de las nuevas versiones de WSTG te invitamos a hacer clic en el siguiente enlace.

Este tipo de documentación es relevante tanto para aquellos que se dedican a testear aplicaciones como para quienes las defienden y se ha convertido en una documentación indispensable para todos los que estén relacionados a la seguridad de aplicaciones web.

Otra documentación de OWASAP

OWASP logra su popularidad principalmente a través de su documentación referente a los 10 riesgos de seguridad más críticos en aplicaciones web, más conocido como OWASP TOP 10. Pero lo cierto es que OWASP goza de mucha documentación referente a distintos estándares y controles de seguridad orientados a diversas tecnologías, como la MSTG (Mobile Security Testing Guide), un manual completo para pruebas de seguridad de aplicaciones móviles e ingeniería inversa que a su vez describe los procesos técnicos para verificar los controles enumerados en el MASVS (Mobile Application Security Verification Standard), o bien la documentación referente a OWASP IoT Top10 para ambientes IoT.