~/docs /OWASP Web Testing Checklist

OWASP Web Testing Checklist

OWASP Web Testing Checklist

Imported from Notion: OWASP Web Testing Checklist

updated:: 2026.07.10

Que resuelve

Checklist defensivo para revisar aplicaciones web propias o autorizadas, inspirado en categorias habituales de OWASP.

warning

Esta pagina es una guia de revision y documentacion. No sustituye autorizacion, alcance ni reglas de engagement.

Preparacion

  • Dominio y entorno definidos.

  • Usuarios de prueba creados.

  • Roles disponibles documentados.

  • Datos de prueba no sensibles.

  • Ventana de pruebas acordada.

  • Contacto de emergencia definido.

Reconocimiento funcional

AreaPreguntas
RutasQue pantallas y endpoints existen
RolesQue puede hacer cada usuario
DatosQue objetos pertenecen a cada usuario
FlujosLogin, logout, reset, compra, subida
APIsREST, GraphQL, WebSocket

Autenticacion

  • Login limita intentos o aplica controles equivalentes.

  • Mensajes de error no enumeran usuarios.

  • MFA disponible donde aplique.

  • Reset de password invalida tokens usados.

  • Logout invalida sesion.

  • Cambiar password requiere sesion valida o control fuerte.

Sesiones y cookies

  • Cookies con HttpOnly.

  • Cookies con Secure.

  • Cookies con SameSite.

  • Tokens no viajan en URL.

  • Sesion expira tras inactividad.

  • Sesion rota tras login.

Autorizacion

  • Usuario A no accede a datos de usuario B.

  • Roles bajos no ejecutan acciones de roles altos.

  • IDs en URL se validan en servidor.

  • APIs repiten controles aunque la UI oculte botones.

  • Acciones sensibles registran auditoria.

Validacion de entrada

  • Campos obligatorios.

  • Tipos incorrectos.

  • Longitudes maximas.

  • Valores fuera de rango.

  • Caracteres especiales.

  • Archivos no esperados.

Uploads

  • Extension validada.

  • MIME validado.

  • Tamano limitado.

  • Nombre de archivo normalizado.

  • Almacenamiento fuera de webroot si aplica.

  • Descarga fuerza tipo seguro si aplica.

Configuracion HTTP

CabeceraObjetivo
Content-Security-PolicyReducir impacto de XSS
X-Content-Type-OptionsEvitar MIME sniffing
Referrer-PolicyLimitar fuga de URLs
Strict-Transport-SecurityForzar HTTPS
X-Frame-Options o CSPClickjacking

Errores y logs

  • Errores no muestran stack traces.

  • Logs no guardan passwords ni tokens.

  • Errores 5xx se investigan.

  • IDs de correlacion disponibles.

  • Eventos sensibles quedan auditados.

APIs

  • Autenticacion obligatoria donde corresponde.

  • Rate limit razonable.

  • Paginacion con limites.

  • CORS restrictivo.

  • Metodos HTTP coherentes.

  • Respuestas no exponen campos internos.

Evidencia minima

CampoContenido
HallazgoDescripcion breve
EndpointMetodo y ruta
UsuarioRol usado
PasosReproduccion minima
ResultadoComportamiento observado
EsperadoComportamiento correcto
ImpactoRiesgo practico

Priorizacion

SeveridadCriterio
CriticaAcceso administrativo o datos masivos
AltaAcceso a datos de otros usuarios
MediaBypass parcial o fuga limitada
BajaHardening, informacion o UX de seguridad

Checklist final

  • Scope escrito.

  • Usuarios de prueba separados.

  • Pruebas de autorizacion por rol.

  • Cookies y cabeceras revisadas.

  • Uploads revisados.

  • Evidencia guardada.

  • Riesgo e impacto redactados.

- EOF -