Documentos de Académico
Documentos de Profesional
Documentos de Cultura
evaluación para
Auditoria ASVS – ASVS
Marzo 2023
Índice de contenidos
METODOLOGÍA DE EVALUACIÓN...........................................................................................3
1.- Objetivo...................................................................................................................................3
-2-
METODOLOGÍA DE EVALUACIÓN
1.- Objetivo
Los objetivos del presente documento es explicar la metodología utilizada por Base4
Security para la evaluación de controles OWASP ASVS para aplicaciones WEB y
MASVS para aplicaciones Móviles.
El resultado del proceso de evaluación permitirá:
Auditar aplicaciones Web y móviles para documentar los que no se cumplen
aparentemente por alguna falla de seguridad, y así evitar alguna explotación de
vulnerabilidad.
● Detectar los controles no cumplidos y documentarlos para entregar a los
equipos de desarrollo, producción y/o otros que puedan verse involucrados
dependiendo de cuales sean.
2.- Alcance
El alcance de cada evaluación dependerá del nivel de controles que requiera el cliente
que abarca Level 1,2 o 3 para aplicaciones Web o Level 1, 2 y/o Ingeniería inversa
para aplicaciones móviles.
-3-
3.- Resumen de Controles OWASP y otros procesos incluidos
en la metodología
Antes de pasar a describir el proceso utilizado para realizar las auditorías de
controles, se realiza una breve descripción de los controels ASVS y MASVS
-4-
El Proyecto del Estándar de Verificación de Seguridad de Aplicaciones (ASVS) de
OWASP proporciona una base para probar los controles técnicos de seguridad de las
aplicaciones web y también proporciona a los desarrolladores una lista de requisitos
para un desarrollo seguro
Niveles de ASVS
El estándar de verificación de seguridad de aplicaciones define tres niveles de
verificación de seguridad, con cada nivel aumentando en profundidad.
ASVS Nivel 1 es para bajos niveles de garantía, y es completamente
comprobable con pentesting.
ASVS Nivel 2 es para aplicaciones que contienen datos confidenciales, que
requiere protección y es el nivel recomendado para la mayoría de las
aplicaciones.
ASVS Nivel 3 es para las aplicaciones más críticas - aplicaciones que realizan
transacciones de alto valor, contienen datos médicos sensibles, o cualquier
aplicación que requiere el más alto nivel de confianza.
Cada nivel ASVS contiene una lista de requisitos de seguridad. Cada uno de estos
requisitos también se puede asignar a características y capacidades específicas de
seguridad que los desarrolladores deben integrar en el software.
Figura 1
-5-
3.3.- Metodología de Desarrollo Seguro
-6-
Tecnologías de la Información (IT), es decir, contribuye a cuantificar la severidad que
pueden representar dichas vulnerabilidades. Una vez que los valores de las métricas
Base son asignadas por un analista, la ecuación definida para calcular la puntuación
genera un valor entre 0.0 y 10.0 derivada de dos subcálculos procedentes de las
métricas de Explotación e Impacto.
-8-
OWASP (Open Web Application Security Project)
Acorde a la metodología OWASP, para determinar la severidad del riesgo se debe
trabajar con los siguientes valores:
-9-
4.- Metodología de Trabajo
A continuación se describen los pasos metodológicos que se realizan durante una
auditoría de controles OWASP.
- 10 -
los componentes de la aplicación, los permisos requeridos, las llamadas a API,
el almacenamiento de datos, etc.
- 12 -
- 13 -