Guías para análisis web/API OWASP WSTG

El proyecto OWASP Web Security Testing Guide (WSTG) es el principal recurso de pruebas de ciberseguridad para desarrolladores de aplicaciones web y profesionales de la seguridad.

El WSTG es una guía completa para probar la seguridad de aplicaciones y servicios web. Creado gracias a los esfuerzos colaborativos de profesionales de la ciberseguridad y voluntarios dedicados, el WSTG proporciona un marco de mejores prácticas utilizadas por evaluadores de penetración y organizaciones de todo el mundo.

La guía se divide en las siguientes partes:

00 - Introduction and Objectives (introducción y objetivos)
01 - Information Gathering (obtención de información)
02 - Configuration and Deployment Management Testing (gestión de configuración y despliegue)
03 - Identity Management Testing (gestión de identidades)
04 - Authentication Testing (mecanismos de autenticación)
05 - Authorization Testing (mecanismos de autorización)
06 - Session Management Testing (gestión de sesiones)
07 - Input Validation Testing (validación de datos de entradas)
08 - Testing for Error Handling (gestión de errores)
09 - Testing or Weak Cryptography (gestión de procesos criptográficos)
10 - Business Logic Testing (lógicas de negocio)
11 - Client side Testing (pruebas en el cliente)
12 - API Testing (pruebas de las APIs)

Además, se puede consultar la guía Penetration Testing Methodologies que considera los siguientes frameworks de evaluación.

La última versión disponible es la 4.2 y se puede visualizar directamente en el sitio web o en formato PDF. La nueva versión 5.0 se encuentra en desarrollo.