https://wiki.owasp.org/index.php?action=history&feed=atom&title=LatamTour2013-TDSD 2026-04-30T10:02:34Z Revision history for this page on the wiki MediaWiki 1.27.2 https://wiki.owasp.org/index.php?title=LatamTour2013-TDSD&diff=148198&oldid=prev 2013-03-20T02:52:15Z

<p>Created page with &quot;&#039;&#039;&#039;Test Driven Secure Development&#039;&#039;&#039; Veremos el desarrollo de un sencillo sitio web de mensajes. En lugar de diseñar el sitio completo, implementarlo y testearlo, iremos res...&quot;</p> <p><b>New page</b></p><div>'''Test Driven Secure Development'''<br /> <br /> Veremos el desarrollo de un sencillo sitio web de mensajes. En lugar de diseñar el sitio completo, implementarlo y testearlo, iremos resolviendo los requisitos y las vulnerabilidades mediante &quot;baby steps&quot;, precedidos por los test, en un ciclo de &quot;crear test&quot;, &quot;fallar test&quot; , &quot;implementar&quot;, &quot;pasar test&quot; y &quot;refactorizar&quot;<br /> <br /> Algunos de los requisitos de nuestra aplicación serán:<br /> <br /> * Que reciba un mensaje<br /> * Que reciba mensajes de usuarios autenticados<br /> * Que persista los mensajes<br /> * Que el usuario se autentique una sola vez<br /> <br /> <br /> Algunas de las vulnerabilidades que hallaremos y quizas resolveremos son:<br /> <br /> <br /> * SQL injection (A1)<br /> * Session Fixation (A2)<br /> * XSS (stored/reflected) (A3)<br /> * Insecure storage (sans 8/25 (cwe 311- missing encryption on sensitive data))<br /> <br /> <br /> Herramientas:<br /> <br /> * Apache/Mysql/Php sin ningún tipo de framework para el desarrollo y shunit2 para el testing, considerando que es una combinación sencilla de mostrar y comprender.<br /> <br /> Dependiendo del tiempo, veremos en mayor o menor profundidad<br /> <br /> * Wireshark/tshark<br /> * Tamper Data<br /> * wget<br /> * grep<br /> <br /> <br /> Un conocimiento muy básico de desarrollo web mejora el aprovechamiento de la exposición, pero no es indispensable.</div>

Tartamar