[Owasp-ecuador] [Owasp-argentina] Pentest aplicación web

Ramiro Fabricio Pulgar M. milovisho en hotmail.com
Mar Nov 6 01:07:46 UTC 2012


Hola Beto,

Te sugiero ampliar el tema, agregando a las opiniones acertadas de todos,
que leas la guía de pruebas de OWASP, específicamente la sección de "¿Cuando
comprobar?", pag 19, "Prueba pronto y prueba a menudo" pag 22, y sobre todo
"La necesidad de un enfoque equilibrado" pag 28

http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf

Happy Reading!

Ramiro Pulgar
Ecuador Chapter Leader
Linkedin: http://ec.linkedin.com/in/ramiropulgar
twitter: @milovisho

URL Site: http://www.owasp.org/index.php?title=Ecuador
Mailing List: http://lists.owasp.org/listinfo/owasp-ecuador
Twitter: @owaspec

-----Original Message-----
From: owasp-argentina-bounces at lists.owasp.org
[mailto:owasp-argentina-bounces at lists.owasp.org] On Behalf Of Andres Riancho
Sent: lunes, 05 de noviembre de 2012 18:33
To: alberto cuevas
Cc: owasp-argentina at lists.owasp.org
Subject: Re: [Owasp-argentina] Pentest aplicación web

Alberto,

    El *mejor* es ambos. Si salis a produccion sin antes testearlo, corres
el riesgo de que "alguien mas" lo testee y termines teniendo un problema
serio de seguridad en tu aplicacion. Si lo testeas antes de que salga a
produccion y puede ser que se agreguen vulnerabilidades en el deployment.

    Si tenes que elegir una de ambas por un tema de costos, yo elegiría
"pre-produccion": cuando el desarrollo termina y ya esta deployado en el
server; pero antes de que abran el puerto en el firewall.

Saludos,

2012/11/5 alberto cuevas <beto.cuevas.v at gmail.com>:
> Buenas noches,
>
>
> ¿Cuál es el mejor momento para realizar un pentest de aplicación web?
> ¿Cuando la aplicación se encuentra en producción o en etapa de pruebas?
>
> Saludos,
>
> --
> -- Beto C.
> _______________________________________________
> Owasp-argentina mailing list
> Owasp-argentina at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-argentina



--
Andrés Riancho
Project Leader at w3af - http://w3af.org/ Web Application Attack and Audit
Framework
Twitter: @w3af
GPG: 0x93C344F3
_______________________________________________
Owasp-argentina mailing list
Owasp-argentina at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-argentina



More information about the Owasp-Ecuador mailing list