Cómo aplicar la metodología OWASP en un pentest

1) Qué es OWASP

OWASP es una comunidad que publica estándares, guías y referencias para construir y verificar software seguro. En pentesting, los tres artefactos clave son:

• WSTG – Web Security Testing Guide: catálogo de pruebas para aplicaciones web y APIs (la “metodología” de pruebas).

• ASVS – Application Security Verification Standard: niveles y requisitos (L1/L2/L3) que puedes usar como criterios de aceptación.

• OWASP Risk Rating: método para valorar y priorizar hallazgos (probabilidad x impacto).

 

2) Flujo de trabajo (alto nivel)

1. Pre-engagement

   • Alcance (dominios, apps, APIs, entornos), ventanas de prueba, ROE (Reglas de Enfrentamiento) y vías de notificación.

   • Autorización por escrito (legal), tratamiento de datos/evidencias y canales seguros.

   • Nivel ASVS objetivo (p.ej., L2) y cumplimiento adicional (GDPR, PCI, etc.).

2. Plan de pruebas

   • Construye una matriz WSTG/ASVS: requisito → caso de prueba → evidencia esperada.

   • Define roles/credenciales de prueba (usuario, operador, admin), datos semilla y exclusiones.

3. Ejecución

   • Descubrimiento y mapeo → pruebas no autenticadas → autenticadas → pruebas de roles → lógica de negocio.

   • Registra evidencias reproducibles (peticiones/resp., capturas, IDs de vulnerabilidad).

4. Análisis y priorización

   • Valora con OWASP Risk Rating (y, si tu cliente lo pide, CVSS).

   • Redacta recomendaciones accionables y quick wins.

5. Entrega y remediación

   • Informe técnico + sumario ejecutivo, sesión de cierre, y retest planificado.

3) Plantilla breve de “Plan de pruebas”

• Objetivo: Verificar seguridad de app.empresa.com (ASVS L2).

• Alcance: Web + API /v1/*; entornos: preproducción; exclusiones: /admin/legacy.

• Cuentas: usuario, operador, admin (MFA), usuario externo.

• Casos clave: WSTG: AUTHN/SESS/ATHZ/INPV/BUSL/API/CONF.

• Ventanas: L–V 09:00–18:00 CET; sin pruebas de carga.

• Notificación: canal seguro + contacto 24/7.

• Cierre: informe T+5 días; retest T+20 días.