Aplicación del nivel 1 estándar ASVS de OWASP: un caso de estudio

 

Guardado en:
Detalles Bibliográficos
Autores: Brenes Vindas, Enrique, Martínez Porras, Alexandra
Formato: comunicación de congreso
Fecha de Publicación:2016
Descripción:Este caso de estudio explora la aplicabilidad del nivel 1 del estándar para verificación de la seguridad de aplicaciones de OWASP en el contexto de una aplicación web de la industria financiera. Dos analistas de calidad no expertos en seguridad se encargaron de ejecutar el nivel 1 del estándar, reportando en una bitácora varias métricas relativas a las pruebas realizadas, el esfuerzo requerido y las vulnerabilidades encontradas. Luego, el equipo de desarrollo corrigió las vulnerabilidades reportadas, registrando el esfuerzo de corregir cada vulnerabilidad. Finalmente, un grupo de expertos en seguridad realizó una evaluación de la aplicación, detallando sus hallazgos en un informe. Los resultados aportan evidencia de que el nivel 1 del estándar ASVS puede ser aplicado por analistas de calidad que no sean expertos en seguridad, mediante análisis manual de código y técnicas de pruebas de penetración con apoyo de herramientas. En el software bajo estudio, las vulnerabilidades de Control de acceso y Autenticación fueron las más frecuentes, de mayor severidad y con mayor esfuerzo de reparación. La evaluación realizada por expertos en seguridad ayudó a comprobar que la cobertura del nivel 1 del estándar fue alta a pesar de haber sido realizada por personal inexperto en pruebas de seguridad.
País:Kérwá
Institución:Universidad de Costa Rica
Repositorio:Kérwá
OAI Identifier:oai:kerwa.ucr.ac.cr:10669/78492
Acceso en línea:http://toc.proceedings.com/31327webtoc.pdf
https://hdl.handle.net/10669/78492
Palabra clave:Pruebas de seguridad
OWASP
ASVS
vulnerabilidades