Lic. Cristian Borghello, CISSP – MVP

www.segu-info.com.ar

@seguinfo

@CursosSeguInfo

Desarrollo Seguro Orientado a OWASP Top 10

Tipos deTesting

Testing White Box (I)

• Requieren acceso al código fuente y comprender los objetivos del software y del negocio, pero se pueden realizar en cualquier momento del SDLC

• Se realiza con base en el conocimiento de cómo se implementa el sistema

• Incluyen el análisis de flujo de datos, prácticas de codificación, el control de errores y las excepciones

• Se prueba comportamiento intencionaly no intencional

Testing White Box (II)

• Se realizan para validar si la aplicación sigue el diseño previsto, validar las funcionalidades implementadas, y descubrir vulnerabilidades

• El primer paso en la prueba es comprender y analizar la documentación de diseño disponibles, casos de usos, DFD, el flujo de datos y el código fuente, como mínimo

• Se debe pensar como un atacante yconocer las herramientas y técnicas disponibles

Testing Black Box

• Se basa en obtener las especificaciones del software y comprender su funcionamiento, sin referencia ni conocimiento interno

• Se debe intentar realizar plus al White-Box• Además de para encontrar vulnerabilidades,

puede ser útil para detectar errores enrun-time y en el código compilado

Análisis estático vs Dinámico

Estático: analiza el programa, su estructura y sus variables sin ejecutarlo para obtener información que será válida para todas las posibles ejecuciones (aproximado)Dinámico: recolecta información del programa conforme se está ejecutando (real-time y preciso). Útil para eliminar componentes innecesarios, compatibilidad conotro software y errores deentrada/salida