← Volver a la Base de conocimientos← Pregunta anteriorSiguiente pregunta →
Control de Calidad Manual (QA)Tester, QA

¿Cómo llevar a cabo pruebas manuales de seguridad en aplicaciones web? ¿Qué vulnerabilidades se deben verificar y cómo documentar los problemas encontrados?

Supere entrevistas con el asistente de IA Hintsage

Respuesta.

Historia de la pregunta

Con el aumento de los ciberataques, el énfasis en las pruebas de seguridad ha crecido. Incluso para los testers manuales es importante poder identificar vulnerabilidades estándar.

Problema

A menudo, los testers manuales consideran las cuestiones de seguridad solo como responsabilidad de los automatizadores o especialistas en seguridad. Esto lleva a la omisión de errores elementales, fatales para el negocio.

Solución

Las pruebas manuales de seguridad son un intento de reproducir ataques potenciales desde la perspectiva de un usuario común:

  • Verificación de XSS, inyección SQL, CSRF.
  • Manipulación de cookies y sesiones.
  • Intentos de violación de autenticación y restricciones de permisos.

Todos los problemas encontrados deben documentarse utilizando la plantilla "Informe de Bug" con una descripción detallada del paso, el resultado esperado y el resultado real, así como la indicación del nivel de criticidad.

Características clave:

  • Uso de técnicas manuales simples (modificación de parámetros en la URL, intentos de introducir valores peligrosos).
  • Verificación de vulnerabilidades estándar del OWASP Top 10.
  • Necesidad de comunicación con DevOps/Backend para aclarar cómo se manejan los errores y qué registros se generan.

Preguntas con trampa.

¿Es posible identificar todas las vulnerabilidades críticas en la aplicación de forma manual?

No. El enfoque manual permite encontrar vulnerabilidades evidentes, pero para una cobertura completa se requieren escáneres automatizados y pruebas de penetración.

¿Es suficiente comprobar solo el formulario de inicio de sesión y contraseña para la prueba de seguridad?

No. Es necesario verificar todos los módulos funcionales, especialmente aquellos que alteran/guardan datos, interacciones con API, cargas de archivos y operaciones con permisos de acceso.

¿Necesita el tester entender las solicitudes y respuestas HTTP si se trata de pruebas manuales de seguridad?

Sí. Trabajar con herramientas como DevTools, Postman o Fiddler es clave para encontrar problemas de seguridad manualmente.

Errores comunes y anti-patrón

  • La verificación de seguridad se limita a la entrada y registro.
  • Ignorar vulnerabilidades si no se pueden explotar de inmediato.
  • No documentar vulnerabilidades encontradas cumpliendo con los estándares de informes de bug.

Ejemplo de la vida real

Caso negativo

El tester solo verificó el inicio de sesión en busca de XSS, sin probar los demás formularios de usuario y parámetros de URL.

Ventajas:

  • Prueba de primera ronda realizada rápidamente.

Desventajas:

  • Se pasó por alto una vulnerabilidad crítica en el perfil de usuario, donde se podía realizar una inyección SQL.

Caso positivo

El tester revisó exhaustivamente todos los formularios de entrada, modificó los parámetros en las solicitudes, describió en detalle lo encontrado en el informe de errores y se comunicó con DevOps para aclarar sobre la gestión de errores.

Ventajas:

  • Se identificó una XSS no evidente y una vulnerabilidad de acceso a datos.
  • Transparencia total del problema para el equipo.

Desventajas:

  • Se requirió más tiempo para esta prueba, pero se aumentó la confianza en la calidad.