OWASP WSTG
¿Qué es OWASP WSTG?
OWASP WSTGWeb Security Testing Guide de OWASP, manual open source completo que describe como probar aplicaciones web frente a las debilidades de seguridad mas comunes.
La OWASP Web Security Testing Guide (WSTG) es un manual de codigo abierto mantenido por la comunidad que documenta tecnicas y casos de prueba para pentesting y evaluacion de aplicaciones web. La version 4.2 organiza el contenido en capitulos como Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side y API Testing, con IDs de prueba detallados (por ejemplo, WSTG-AUTHN-01). Cada prueba describe objetivos, como ejecutarla y referencias. La WSTG es la base de muchas metodologias de pentest, requisitos de pruebas en RFP y un recurso de formacion junto con ASVS y el Top 10.
● Ejemplos
- 01
Un informe de pentest que indexa cada hallazgo al ID de prueba WSTG-INPV correspondiente (Input Validation).
- 02
Un equipo nuevo de AppSec usa los checklists de la WSTG para incorporar pentesters y estandarizar metodologia.
● Preguntas frecuentes
¿Qué es OWASP WSTG?
Web Security Testing Guide de OWASP, manual open source completo que describe como probar aplicaciones web frente a las debilidades de seguridad mas comunes. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP WSTG?
Web Security Testing Guide de OWASP, manual open source completo que describe como probar aplicaciones web frente a las debilidades de seguridad mas comunes.
¿Cómo funciona OWASP WSTG?
La OWASP Web Security Testing Guide (WSTG) es un manual de codigo abierto mantenido por la comunidad que documenta tecnicas y casos de prueba para pentesting y evaluacion de aplicaciones web. La version 4.2 organiza el contenido en capitulos como Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side y API Testing, con IDs de prueba detallados (por ejemplo, WSTG-AUTHN-01). Cada prueba describe objetivos, como ejecutarla y referencias. La WSTG es la base de muchas metodologias de pentest, requisitos de pruebas en RFP y un recurso de formacion junto con ASVS y el Top 10.
¿Cómo defenderse de OWASP WSTG?
Las defensas contra OWASP WSTG combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP WSTG?
Nombres alternativos comunes: Web Security Testing Guide, WSTG.
● Términos relacionados
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
- compliance№ 781
OWASP Top 10
Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, herramienta de codigo abierto para pruebas de seguridad de aplicaciones web, originalmente de OWASP y actualmente apadrinada por Checkmarx y la comunidad ZAP.
- appsec№ 273
DAST (Pruebas dinámicas de seguridad de aplicaciones)
Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
● Véase también
- № 778OWASP MASVS