Aplicación del nivel 1 estándar ASVS de OWASP: un caso de estudio

Abstract

Este caso de estudio explora la aplicabilidad del nivel 1 del estándar para verificación de la seguridad de aplicaciones de OWASP en el contexto de una aplicación web de la industria financiera. Dos analistas de calidad no expertos en seguridad se encargaron de ejecutar el nivel 1 del estándar, reportando en una bitácora varias métricas relativas a las pruebas realizadas, el esfuerzo requerido y las vulnerabilidades encontradas. Luego, el equipo de desarrollo corrigió las vulnerabilidades reportadas, registrando el esfuerzo de corregir cada vulnerabilidad. Finalmente, un grupo de expertos en seguridad realizó una evaluación de la aplicación, detallando sus hallazgos en un informe. Los resultados aportan evidencia de que el nivel 1 del estándar ASVS puede ser aplicado por analistas de calidad que no sean expertos en seguridad, mediante análisis manual de código y técnicas de pruebas de penetración con apoyo de herramientas. En el software bajo estudio, las vulnerabilidades de Control de acceso y Autenticación fueron las más frecuentes, de mayor severidad y con mayor esfuerzo de reparación. La evaluación realizada por expertos en seguridad ayudó a comprobar que la cobertura del nivel 1 del estándar fue alta a pesar de haber sido realizada por personal inexperto en pruebas de seguridad.