~/docs /OWASP Web Testing Checklist
OWASP Web Testing Checklist
OWASP Web Testing Checklist
Imported from Notion: OWASP Web Testing Checklist
updated:: 2026.07.10
Que resuelve
Checklist defensivo para revisar aplicaciones web propias o autorizadas, inspirado en categorias habituales de OWASP.
warningEsta pagina es una guia de revision y documentacion. No sustituye autorizacion, alcance ni reglas de engagement.
Preparacion
-
Dominio y entorno definidos.
-
Usuarios de prueba creados.
-
Roles disponibles documentados.
-
Datos de prueba no sensibles.
-
Ventana de pruebas acordada.
-
Contacto de emergencia definido.
Reconocimiento funcional
| Area | Preguntas |
|---|---|
| Rutas | Que pantallas y endpoints existen |
| Roles | Que puede hacer cada usuario |
| Datos | Que objetos pertenecen a cada usuario |
| Flujos | Login, logout, reset, compra, subida |
| APIs | REST, GraphQL, WebSocket |
Autenticacion
-
Login limita intentos o aplica controles equivalentes.
-
Mensajes de error no enumeran usuarios.
-
MFA disponible donde aplique.
-
Reset de password invalida tokens usados.
-
Logout invalida sesion.
-
Cambiar password requiere sesion valida o control fuerte.
Sesiones y cookies
-
Cookies con
HttpOnly. -
Cookies con
Secure. -
Cookies con
SameSite. -
Tokens no viajan en URL.
-
Sesion expira tras inactividad.
-
Sesion rota tras login.
Autorizacion
-
Usuario A no accede a datos de usuario B.
-
Roles bajos no ejecutan acciones de roles altos.
-
IDs en URL se validan en servidor.
-
APIs repiten controles aunque la UI oculte botones.
-
Acciones sensibles registran auditoria.
Validacion de entrada
-
Campos obligatorios.
-
Tipos incorrectos.
-
Longitudes maximas.
-
Valores fuera de rango.
-
Caracteres especiales.
-
Archivos no esperados.
Uploads
-
Extension validada.
-
MIME validado.
-
Tamano limitado.
-
Nombre de archivo normalizado.
-
Almacenamiento fuera de webroot si aplica.
-
Descarga fuerza tipo seguro si aplica.
Configuracion HTTP
| Cabecera | Objetivo |
|---|---|
Content-Security-Policy | Reducir impacto de XSS |
X-Content-Type-Options | Evitar MIME sniffing |
Referrer-Policy | Limitar fuga de URLs |
Strict-Transport-Security | Forzar HTTPS |
X-Frame-Options o CSP | Clickjacking |
Errores y logs
-
Errores no muestran stack traces.
-
Logs no guardan passwords ni tokens.
-
Errores 5xx se investigan.
-
IDs de correlacion disponibles.
-
Eventos sensibles quedan auditados.
APIs
-
Autenticacion obligatoria donde corresponde.
-
Rate limit razonable.
-
Paginacion con limites.
-
CORS restrictivo.
-
Metodos HTTP coherentes.
-
Respuestas no exponen campos internos.
Evidencia minima
| Campo | Contenido |
|---|---|
| Hallazgo | Descripcion breve |
| Endpoint | Metodo y ruta |
| Usuario | Rol usado |
| Pasos | Reproduccion minima |
| Resultado | Comportamiento observado |
| Esperado | Comportamiento correcto |
| Impacto | Riesgo practico |
Priorizacion
| Severidad | Criterio |
|---|---|
| Critica | Acceso administrativo o datos masivos |
| Alta | Acceso a datos de otros usuarios |
| Media | Bypass parcial o fuga limitada |
| Baja | Hardening, informacion o UX de seguridad |
Checklist final
-
Scope escrito.
-
Usuarios de prueba separados.
-
Pruebas de autorizacion por rol.
-
Cookies y cabeceras revisadas.
-
Uploads revisados.
-
Evidencia guardada.
-
Riesgo e impacto redactados.
- EOF -