Posted by Juan José Vidal
Navegando por la web de OWASP me encontré con esta joyita, WebScarab. La herramienta en cuestión es un framework para análisis de aplicaciones web bastante completo. Trabaja con HTTP y HTTPS, y podemos hacer cosas tan útiles como actuar de proxy, ver las requests y responses de la página… revisarlas y modificarlas para poder mandárselas al servidor, antes que lleguen al cliente. Muy útil.
Está implementada en Java, por lo que no tendremos ningún problema en ejecutarla en MS Windows, GNU/Linux o Apple MacOS X.
Actualmente la gente de OWASP está trabajando en la reescritura de WebScarab, llamándose esta nueva versión WebScarab NG. Por lo que comentan la nueva versión solo aportará un entorno más agradable: i18n, teclas rápidas… Yo aún no lo he probado, pero estaré al tanto
Posted by Juan José Vidal
La semana pasada en la FS2008 de RedIris tomamos contacto con OWASP. Es una comunidad centrada en la seguridad de software de aplicación…
pero… ¿qué o quienes son OWASP?
“The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security “visible,” so that people and organizations can make informed decisions about application security risks. Everyone is free to participate in OWASP and all of our materials are available under an open source license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work.”
Debido a la gran cantidad de ataques que existen actualmente, y la preocupante situación frente a las cifras de SANS Institute, pienso que tenemos que tomarnos un poco más en serio la seguridad.
Entre otras cosas, en esta guia se habla de cómo evitar algunos ataques conocidos:
- XSS
- CSRF
- Insecure Direct Object Reference
- Malicious File Execution
- ...
La guía Web Application Security Put Into Practice: Ruby On Rails Security (68 páginas), podemos descargarnosla desde aquí
