Tabla de contenido
Guía del desarrollador OWASP
Una guía para dessarrollar aplicaciones y servicios web seguros
2 Fundamentos
2.1 Fundamentos de Seguridad
2.2 Desarrollo e integración Segura
2.3 Principios de Seguridad
2.4 Principios de Criptografía
2.5 OWASP Top 10
3 Requerimientos
3.1 Requerimientos en la práctica
3.2 Perfil de riesgo
3.3 OpenCRE
3.4 SecurityRAT
3.5 ASVS requerimientos
3.6 MAS requerimientos
3.7 SKF requerimientos
4 Diseño
4.1 Modelado de amenazas
4.1.1 Modelado de amenazas en la práctica
4.1.2 pytm
4.1.3 Threat Dragon
4.1.4 Cornucopia
4.1.5 LINDDUN GO
4.1.6 Kit de herramientas de modelado de amenazas
4.2 Lista de verificación de aplicaciones web
4.2.1 Definir requisitos de seguridad
4.2.2 Aprovechar los frameworks y librerías
4.2.3 Asegurar el acceso a la base de datos
4.2.4 Codificar y escapar caracteres especiales en datos
4.2.5 Validar todas las entradas
4.2.6 Implementar identidad digital
4.2.7 Hacer respetar los controles de acceso
4.2.8 Proteger los datos en todas partes
4.2.9 Implementar registro y monitoreo de seguridad
4.2.10 Manejar todos los errores y excepciones
4.3 Lista de verificación de aplicaciones móviles
5 Implementación
5.1 Documentación
5.1.1 Los Top 10 controles proactivos
5.1.2 Prácticas de codificación seguras de Go
5.1.3 Serie de hojas de referencia
5.2 Dependencias
5.2.1 Dependency-Check
5.2.2 Dependency-Track
5.2.3 CycloneDX
5.3 Librerías seguras
5.3.1 ESAPI
5.3.2 CSRFGuard
5.3.3 OSHP
5.4 MASWE
6 Verificación
6.1 Guías
6.1.1 WSTG
6.1.2 MAS
6.1.3 ASVS
6.2 Herramientas
6.2.1 DAST
6.2.2 Amass
6.2.3 OWTF
6.2.4 Nettacker
6.2.5 OSHP verificación
6.3 Frameworks
6.3.1 SecureCodeBox
6.4 Gestión de vulnerabilidades
6.4.1 DefectDojo
7 Capacitación y Educación
7.1 Aplicaciones vulnerables
7.1.1 Juice Shop
7.1.2 WebGoat
7.1.3 PyGoat
7.1.4 Security Shepherd
7.2 Secure Coding Dojo
7.3 SKF capacitación
7.4 SamuraiWTF
7.5 Proyecto OWASP Top 10
7.6 Mobile Top 10
7.7 API Top 10
7.8 WrongSecrets
7.9 OWASP Snakes and Ladders
8 Desarrollo de cultura y maduración de procesos
8.1 Cultura de seguridad
8.2 Defensores de Seguridad
8.2.1 Programa de Defensores de seguridad
8.2.2 Security Champions Guide
8.2.3 Security Champions Playbook
8.3 SAMM
8.4 ASVS procesos
8.5 MAS procesos
9 Operaciones
9.1 Directriz DevSecOps
9.2 Coraza WAF
9.3 ModSecurity WAF
9.4 OWASP CRS
10 Métricas
11 Análisis de brechas de seguridad
11.1 Guías
11.1.1 SAMM análisis
11.1.2 ASVS análisis
11.1.3 MAS análisis
11.2 BLT
12 Apéndices
12.1 Qué hacer y qué no hacer en la implementación
12.1.1 Seguridad de Contenedores
12.1.2 Codificación segura
12.1.3 Prácticas criptográficas
12.1.4 Suplantación de aplicaciones
12.1.5 Política de seguridad de contenido (CSP)
12.1.6 Manejo de excepciones y errores
12.1.7 Administración de archivos
12.1.8 Administración de memoria
12.2 Qué hacer y qué no hacer en la verificación
12.2.1 Entorno seguro
12.2.2 Refuerzo de seguridad del sistema
12.2.3 Software de código abierto