@conference {521, title = {Aplicaci{\'o}n del nivel 1 est{\'a}ndar ASVS de OWASP: un caso de estudio}, booktitle = {Ibero-American Conference on Software Engineering }, year = {2016}, publisher = {Curran Associates, Inc.}, organization = {Curran Associates, Inc.}, address = {Quito, Ecuador}, abstract = {

Este caso de estudio explora la aplicabilidad del nivel 1 del est{\'a}ndar para verificaci{\'o}n de la seguridad de aplicaciones de OWASP en el contexto de una aplicaci{\'o}n web de la industria financiera. Dos analistas de calidad no expertos en seguridad se encargaron de ejecutar el nivel 1 del est{\'a}ndar, reportando en una bit{\'a}cora varias m{\'e}tricas relativas a las pruebas realizadas, el esfuerzo requerido y las vulnerabilidades encontradas. Luego, el equipo de desarrollo corrigi{\'o} las vulnerabilidades reportadas, registrando el esfuerzo de corregir cada vulnerabilidad. Finalmente, un grupo de expertos en seguridad realiz{\'o} una evaluaci{\'o}n de la aplicaci{\'o}n, detallando sus hallazgos en un informe. Los resultados aportan evidencia de que el nivel 1 del est{\'a}ndar ASVS puede ser aplicado por analistas de calidad que no sean expertos en seguridad, mediante an{\'a}lisis manual de c{\'o}digo y t{\'e}cnicas de pruebas de penetraci{\'o}n con apoyo de herramientas. En el software bajo estudio, las vulnerabilidades de Control de acceso y Autenticaci{\'o}n fueron las m{\'a}s frecuentes, de mayor severidad y con mayor esfuerzo de reparaci{\'o}n. La evaluaci{\'o}n realizada por expertos en seguridad ayud{\'o} a comprobar que la cobertura del nivel 1 del est{\'a}ndar fue alta a pesar de haber sido realizada por personal inexperto en pruebas de seguridad.

}, isbn = {978-1-5108-2718-9}, author = {Brenes, Enrique and Mart{\'\i}nez, Alexandra} }