Que resuelve
Checklist defensivo para revisar aplicaciones web propias o autorizadas, inspirado en categorias habituales de OWASP.
<aside>
⚠️
Esta pagina es una guia de revision y documentacion. No sustituye autorizacion, alcance ni reglas de engagement.
</aside>
Preparacion
- Dominio y entorno definidos.
- Usuarios de prueba creados.
- Roles disponibles documentados.
- Datos de prueba no sensibles.
- Ventana de pruebas acordada.
- Contacto de emergencia definido.
Reconocimiento funcional
| Area |
Preguntas |
| Rutas |
Que pantallas y endpoints existen |
| Roles |
Que puede hacer cada usuario |
| Datos |
Que objetos pertenecen a cada usuario |
| Flujos |
Login, logout, reset, compra, subida |
| APIs |
REST, GraphQL, WebSocket |
Autenticacion
- Login limita intentos o aplica controles equivalentes.
- Mensajes de error no enumeran usuarios.
- MFA disponible donde aplique.
- Reset de password invalida tokens usados.
- Logout invalida sesion.
- Cambiar password requiere sesion valida o control fuerte.
Sesiones y cookies