OWASP WSTG
O que é OWASP WSTG?
OWASP WSTGWeb Security Testing Guide da OWASP, manual open source abrangente que descreve como testar aplicacoes web face as fraquezas de seguranca mais comuns.
O OWASP Web Security Testing Guide (WSTG) e um manual open source mantido pela comunidade que documenta tecnicas e casos de teste para pentests e avaliacoes de seguranca de aplicacoes web. A versao 4.2 organiza o conteudo em capitulos como Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side e API Testing, cada um com IDs de teste detalhados (por exemplo WSTG-AUTHN-01). Cada teste descreve objetivos, modo de execucao e referencias. O WSTG e base de muitas metodologias de pentest, requisitos de testes em RFP e recurso de formacao junto com ASVS e Top 10.
● Exemplos
- 01
Relatorio de pentest que liga cada achado ao ID de teste WSTG-INPV (Input Validation) correspondente.
- 02
Uma nova equipa de AppSec usa as checklists WSTG para integrar pentesters e padronizar a metodologia.
● Perguntas frequentes
O que é OWASP WSTG?
Web Security Testing Guide da OWASP, manual open source abrangente que descreve como testar aplicacoes web face as fraquezas de seguranca mais comuns. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa OWASP WSTG?
Web Security Testing Guide da OWASP, manual open source abrangente que descreve como testar aplicacoes web face as fraquezas de seguranca mais comuns.
Como funciona OWASP WSTG?
O OWASP Web Security Testing Guide (WSTG) e um manual open source mantido pela comunidade que documenta tecnicas e casos de teste para pentests e avaliacoes de seguranca de aplicacoes web. A versao 4.2 organiza o conteudo em capitulos como Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side e API Testing, cada um com IDs de teste detalhados (por exemplo WSTG-AUTHN-01). Cada teste descreve objetivos, modo de execucao e referencias. O WSTG e base de muitas metodologias de pentest, requisitos de testes em RFP e recurso de formacao junto com ASVS e Top 10.
Como se defender contra OWASP WSTG?
As defesas contra OWASP WSTG costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OWASP WSTG?
Nomes alternativos comuns: Web Security Testing Guide, WSTG.
● Termos relacionados
- compliance№ 775
OWASP ASVS
Application Security Verification Standard da OWASP, catalogo de requisitos de seguranca testaveis para projetar, construir e verificar aplicacoes web e APIs.
- compliance№ 781
OWASP Top 10
Documento de sensibilização da OWASP que enumera os riscos de segurança mais críticos para aplicações web, atualizado periodicamente com base em dados reais de vulnerabilidades.
- compliance№ 783
OWASP ZAP
Zed Attack Proxy, ferramenta open source de testes de seguranca de aplicacoes web, originaria da OWASP e agora mantida pela Checkmarx e pela comunidade ZAP.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
- compliance№ 204
Conformidade
Disciplina que assegura o cumprimento de requisitos legais, regulatórios, contratuais e internos de segurança através de controlos documentados, evidências e avaliação contínua.
● Veja também
- № 778OWASP MASVS