Estadísticas de seguridad web

---

Se acaban de hacer públicas las nuevas estadísticas de seguridad web que elabora el Web Application Security Consortium (WASC), pueden verse aquí. Son interesantes no sólo porque nos dicen cuáles son los ataques o problemas de seguridad web más comunes, sino porque también evalúan cuál es la manera más efectiva de detectarlos: análisis automáticos, pruebas de caja negra, o pruebas de caja blanca.

Algunas cosas ya las sabíamos, creo yo. Por ejemplo, que los análisis automáticos son representativos, o efectivos, primordialmente en aplicaciones "normales" abiertas a Internet. O que el XSS es el problema más detectado. Otros, sin embargo, no se mencionan tanto comúnmente, por ejemplo, de los datos analizados, puede verse que es mucho más probable detectar posibles fugas de información mediante pruebas de caja negra o blanca que mediante pruebas automáticas.

Se sigue verificando la regla de que las herramientas automáticas aún no pueden sustituir a la experiencia del pen-tester. En la detección de vulnerabilidades de nivel de riesgo bajo, las herramientas de análisis automático son más efectivas, pero cuando nos metemos con los problemas graves o sólo medianamente graves, hay que buscar a mano.

Lectura recomendable :)

Slds!

---

Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...