ID DESCRIPCIÓN

Recopilación de información
INFO-01 Fugas de información indexadas por buscadores
INFO-02 Fingerprinting del servidor web
INFO-03 Fugas de información sensible en metaficheros del servidor
INFO-04 Enumeración de aplicaciones en el servidor web
INFO-05 Fugas de información sensible en metadatos y comentarios de la aplicación
INFO-06 Identificación de puntos de entrada en la aplicación
INFO-07 Mapas de rutas de ejecución a través de la aplicación
INFO-08 Fingerprinting del framework de la aplicación web
INFO-09 Fingerprinting de la aplicación web
INFO-10 Mapa de arquitectura de la aplicación
Gestión de configuración e implementación
CONFIG-01 Configuración de infraestructura/red
CONFIG-02 Configuración de la plataforma de la aplicación
CONFIG-03 Fugas de información sensible en el manejo de extensiones de archivos
CONFIG-04 Fugas de información sensible en archivos obsoletos, de backup o no referenciados
CONFIG-05 Enumeración de infraestructura e interfaces de administración de la aplicación
CONFIG-06 Métodos HTTP
CONFIG-07 HTTP Strict Transport Security
CONFIG-08 Política de dominio cruzado RIA
CONFIG-09 Permiso archivos
CONFIG-10 Toma de control de subdominio
CONFIG-11 Almacenamiento en la nube
Gestión de identidades
IDENT-01 Definición de roles
IDENT-02 Proceso de registro
IDENT-03 Proceso de asignación de cuentas de usuario
IDENT-04 Enumeración de cuentas de usuario
IDENT-05 Política de nombres de usuario débil
Autenticación
AUTHN-01 Transporte de credenciales por canales cifrados
AUTHN-02 Uso de credenciales por defecto
AUTHN-03 Debilidades en el mecanismo de bloqueo
AUTHN-04 Fallos en el esquema de autenticación
AUTHN-05 Sistema de recuerdo de contraseña
AUTHN-06 Debilidades en la caché del navegador
AUTHN-07 Política de contraseñas débil
AUTHN-08 Debilidades en el sistema de pregunta de seguridad
AUTHN-09 Debilidades en las funcionalidades de cambio y reseteo de contraseñas
AUTHN-10 Canales alternativos de autenticación
Autorización
AUTHZ-01 Directory traversal
AUTHZ-02 Fallos en el control de acceso a recursos y funcionalidades
AUTHZ-03 Escalado de privilegios
AUTHZ-04 Referencias directas inseguras a objetos
Gestión de sesiones
SESS-01 Fallos en el sistema de manejo de sesiones
 SESS-02 Atributos de las cookies
SESS-03 Fijación de sesión
SESS-04 Variables de sesión expuestas
SESS-05 Cross Site Request Forgery (CSRF)
SESS-06 Sistema de cierre de sesión
SESS-07 Sistema de timeout (caducidad) de la sesión
SESS-08 Session puzzling (sobrecarga de variables de sesión)
Validación de datos de entrada
INPVAL-01 Cross Site Scripting reflejado
INPVAL-02 Cross Site Scripting almacenado
INPVAL-03 Manipulación de verbos HTTP
INPVAL-04 Contaminación de parámetros HTTP
INPVAL-05 Inyección SQL
INPVAL-06 Inyección LDAP
INPVAL-07 Inyección XML
INPVAL-08 Inyección SSI
INPVAL-09 Inyección Xpath
INPVAL-10 Inyección IMAP/SMTP
INPVAL-11 Inyección de código
INPVAL-12 Inyección de comandos
INPVAL-13 Sobrecargas de buffer
INPVAL-14 Vulnerabilidades incubadas
INPVAL-15 HTTP Splitting/Smuggling
INPVAL-16 HTTP solicitudes entrantes
INPVAL-17 Inyección en cabecera Host
INPVAL-18 Inyección de plantilla del lado del servidor (SSTI)
Manejo de errores
ERR-01 Análisis de códigos de error
ERR-02 Análisis de trazas de error
Criptografía
CRYPST-01 Confidencialidad de la información en tránsito
CRYPST-02 Padding Oracle
CRYPST-03 Envío de información sensible por canales sin cifrar
CRYPST-04 Debilidades en el cifrado
Lógica de negocio
BUSLOGIC-01 Validación de datos de la lógica del negocio
BUSLOGIC-02 Habilidad de manipulación consultas
BUSLOGIC-03 Comprobación de integridad
BUSLOGIC-04 Tiempo de procesamiento
BUSLOGIC-05 Límite de veces de uso de una función
BUSLOGIC-06 Evasión de los flujos de trabajo
BUSLOGIC-07 Defensas contra el mal uso de la aplicación
BUSLOGIC-08 Subida de tipos de archivos inesperados
BUSLOGIC-09 Subida de archivos maliciosos
Pruebas del lado del cliente
CLIENT-01 Cross Site Scripting basado en DOM
CLIENT-02 Ejecución de JavaScript
CLIENT-03 Inyección de HTML
CLIENT-04 Redireccionamiento de la URL del lado del cliente
CLIENT-05 Pruebas de inyección de CSS
CLIENT-06 Pruebas de la manipulación de recursos del lado del cliente
CLIENT-07 Intercambio de recursos de origen cruzado
CLIENT-08 Pruebas de Cross Site Flashing
CLIENT-09 Clickjacking
CLIENT-10 WebSockets
CLIENT-11 Mensajería web
CLIENT-12 Almacenamiento local
CLIENT-13 Cross-Site Script Inclusion (XSSI)

Total 94
Aprobada 35
No aprobada 0
No aplica 0
No realizada 59

Porcentaje del estado de las pruebas OWASP

Aproba
35
37%

No realizada
59
63%

Aprobada No aprobada No aplica No realizada

 ESTADO

Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada

Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada

Aprobada
Aprobada
Aprobada
Aprobada
Aprobada

Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
Aprobada
No realizada
Aprobada

No realizada
No realizada
No realizada
No realizada

No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada

No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada

No realizada
No realizada

No realizada
No realizada
No realizada
No realizada

No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada

No realizada
No realizada
No realizada
 No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada
No realizada

OWASP

Aprobada
35
37%

No realizada
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gatherin

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/02-Configuration_and_De

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/03-Identity_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/03-Identity_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/03-Identity_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/03-Identity_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/03-Identity_Management

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/04-Authentication_Testin

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/05-Authorization_Testing
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/05-Authorization_Testing
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/05-Authorization_Testing
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/05-Authorization_Testing

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/06-Session_Management

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/07-Input_Validation_Testi

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/08-Testing_for_Error_Han
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/08-Testing_for_Error_Han

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cry
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cry
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cry
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cry

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/10-Business_Logic_Testin

https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
 https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/0
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/1
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/1
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/1
https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/11-Client_Side_Testing/1

Aprobada
35
37%

da