Conoce lo que debes revisar cuando desarrollas una aplicación web

En este post vamos a hablar acerca del tipo de pruebas que debes realizar cuando desarrollas una aplicación web.

Empezaré por decir que el tema de la seguridad debe ser tenido en cuenta desde el inicio del desarrollo de la aplicación e irá de la mano del desarrollo durante todo el ciclo de vida del software. Aquí vamos a ver cuáles son las principales clase de pruebas que debes tener en cuenta durante el desarrollo.

Las pruebas más comunes son las que generalmente se ejecutan al final del ciclo y son conocidas como pruebas DAST o pruebas dinámicas. Aquí se buscan vulnerabilidades en el software en operación. 

Te recomiendo llevar a cabo pruebas a medida que se desarrollan cada componente operativo para tratar las vulnerabilidades a medida que se desarrollan el software y no dejar esta carga al final donde todo se puede poner más complicado.

La segunda clase de pruebas son las llamadas pruebas SAST o pruebas estáticas. Estas pruebas se realizan al código desarrollado para la operación de la aplicación. Lo más recomendado es tener un software que puedas correr frecuentemente para evidenciar posibles vulnerabilidades a medida que se desarrollan el código. 

Las dos clases de pruebas son importantes, ya que en las pruebas estáticas pueden llegar a no evidenciar todas las vulnerabilidades del aplicativo y lo mismo pasa con las pruebas dinámicas. Recomendación, ejecutas las dos pruebas, DAST y SAST.

La tercera clase de pruebas son dos en una, pruebas de carga y estrés, se mide cuál es el nivel de carga soportada por el aplicativo y cuál es su punto de quiebre, es decir, cuánta carga puede soportar y cuál es la carga máxima antes de quebrarse.

La última clase de pruebas es el análisis de seguridad a la infraestructura, muchas veces el aplicativo desarrollado está bien, pero la infraestructura sobre la cual está desplegada la app es vulnerable, por lo que se ve comprometido el software.

En resumen, prueba el código desarrollado, el aplicativo en operación, el nivel de carga que soporta junto con su punto de quiebre y la infraestructura sobre la cual está desplegado.

Te deseo un desarrollo seguro.

Conozca la actualización más reciente del TOP 10 OWASP para desarrollo seguro de aplicaciones web

El Open Web Application Security Project® (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. Dentro de su inventario posee un gran número de aplicaciones orientadas a aumentar la seguridad en el desarrollo, uso y mantenimiento de las aplicaciones.

Uno de los proyectos más emblemáticos es el TOP 10 OWASP, el cual enlista los diez riesgos más críticos para las aplicaciones y servicios web, llamativamente esta semana actualizó su listado, quedando en su versión 2021 con los siguientes riesgos:

• A01: 2021 Inadecuado control de acceso (anteriormente A05 OWASP Top 10 2017)
• A02: 2021 Fallos criptográficos (anteriormente A03 OWASP Top 10 2017)
• A03: 2021 Inyección (anteriormente A01 OWASP Top 10 2017)
• A04: 2021 Diseño inseguro (NUEVO)
• A05: 2021 Configuración incorrecta de seguridad (anteriormente A06 OWASP Top 10 2017)
• A06: 2021 Componentes vulnerables y obsoletos
• A07: 2021 Fallos de identificación y autenticación (anteriormente A02 OWASP Top 10 2017)
• A08: 2021 Fallos de integridad de datos y software (NUEVO)
• A09: 2021 Fallos de seguimiento y registro de seguridad (anteriormente A10 OWASP Top 10 2017)
• A10: 2021 Falsificación de solicitudes del lado del servidor (NUEVO)

En el siguiente gráfico puedes ver la evolución de los riesgos desde la versión anterior 2017 hasta la versión actual, la 2021:

Un ítem bastante interesante a tener en cuenta, es la inclusión del riesgo 4, el cual tiene que ver con el diseño inseguro y el apartado 8, fallos de integridad de datos y software, la inclusión de estos dos elementos se alinean con el tema del ciclo de vida del desarrollo de software seguro.

Si desea tener más datos al respecto, por favor visite el sitio web www.owasp.org.