La OWASP Testing Guide v4 fue publicada

Han pasado ya 6 años desde la última versión estable de la Guía de pruebas OWASP, la v3. Esta semana, se ha anunciado por fin la OWASP Testing Guide versión 4 (por el momento únicamente en inglés). Así lo ha anunciado Mateo Mucci, uno de los líderes del proyecto en un post del blog MindedSecurity.

La guía de pruebas OWASP contempla un conjunto de puntos de control que engloban las buenas prácticas de seguridad en aplicaciones web, convirtiéndola en una metodología muy completa y utilizada por los profesionales de la seguridad.

Como principales novedades, además de la reorganización de categorías y subcategorías de algunas pruebas, se ha puesto especial hincapié en los siguientes puntos:

• Pruebas sobre criptografía débil (Testing for weak Cryptography)
• Pruebas del lado del cliente (Client Side Testing)
• Pruebas de gestión de identidades (Testing Identity Management)
• Gestión de errores (Testing for Error Handling)

Además, se ha modificado y mejorado el contenido de los puntos de control habituales, haciendo un total de 87 puntos de control (frente a los 64 de la versión anterior). Se ha incluido información con referencias a otros proyectos importantes de OWASP, como son las guías de programación segura y para desarrolladores.

Para esta versión 4 de la guía, encontraremos las siguientes categorías (en inglés):

1. Information Gathering (OTG-INFO)
2. Configuration and Deployment Management Testing (OTG-CONFIG)
3. Identity Management Testing (OTG-IDENT)
4. Authentication Testing (OTG-AUTHN)
5. Authorization Testing (OTG-AUTHZ)
6. Session Management Testing (OTG-SESS)
7. Input Validation Testing (OTG-INPVAL)
8. Testing for Error Handling (OTG-ERR)
9. Testing for weak Cryptography (OTG-CRYPST)
10. Business Logic Testing (OTG-BUSLOGIC)
11. Client Side Testing (OTG-CLIENT)

Cabe destacar la gran revisión que se la ha dado a la categoría "Business Logic" (Lógica de negocio), que ha pasado de tener una única subcategoría general en la versión 3 a 9 subcategorías en la versión 4.

Como es habitual, la guía esta disponible tanto en PDF para su descarga, como en versión navegable dentro de la wiki del proyecto.

Nos queda esperar a la versión en castellano.