Contenido
Verificaciones de Seguridad en Servicios Web
| Identificador | Descripción | Ayuda | Severidad | CVSS |
|---|---|---|---|---|
| SEG-01 | El servicio web tiene una robustez suficiente contra ataques de fuerza bruta o de diccionario. | El servicio web no es robusto contra ataque de fuerza bruto o diccionario | Alta | 6 |
| SEG-02 | El servicio web tiene implementado una petición específica para cerrar la sesión y evitar robo de identidad. | El servicio web no cuenta con un cierre de sesión seguro | Media | 4.6 |
| SEG-03 | Existe un control en el servicio web para evitar el envío de peticiones tras un tiempo inactivo. | El servicio web no expira automáticamente las sesiones tras un periodo de inactividad, permitiendo accesos indebidos si la sesión queda abierta | Media | 4.6 |
| SEG-04 | Verificar en el servicio web que no existe un inapropiado manejo de la información y de errores que puedan ayudar a aumentar el riesgo de otras vulnerabilidades. | El servicio web muestra mensajes de error con información técnica que puede ser aprovechada por un atacante para descubrir otras vulnerabilidades | Baja | 3.2 |
| SEG-05 | Verificar en el servicio web que no se produce un comportamiento inesperado al realizar peticiones con elementos duplicados. | El servicio web puede comportarse de manera insegura si recibe peticiones que incluyen elementos duplicados en sus parámetros | Media | 5.2 |
| SEG-06 | Verificar en el servicio web que no se produce un comportamiento inesperado al omitir elementos en las peticiones. | El servicio web no maneja correctamente las peticiones en las que faltan elementos obligatorios, pudiendo generar respuestas inesperadas y explotables | Media | 5.2 |
| SEG-07 | Verificar en el servicio web que no se produce un comportamiento inesperado al realizar peticiones con elementos mal formados. | El servicio web presenta fallos de seguridad cuando se envían peticiones con parámetros mal formados o en un formato incorrecto | Media | 5.2 |
| SEG-08 | Verificar en el servicio web que no se produce un comportamiento inesperado al sobrecargar los elementos en las peticiones. | El servicio web no controla adecuadamente la sobrecarga de elementos o parámetros en una petición, lo que puede causar fallos o comportamientos inseguros | Media | 5.2 |
| SEG-09 | La inyección XPath es evitada por el servicio web. | El servicio web es vulnerable a inyección XPath | Alta | 5.3 |
| SEG-10 | La inyección SQL es evitada por el servicio web. | El servicio web es vulnerable a inyección SQL | Alta | 7.6 |
| SEG-11 | Verificar en el servicio web que no se produce un comportamiento inesperado al realizar peticiones con inyección de valores aleatorios en los campos. | El servicio web puede generar respuestas indebidas cuando se envían valores aleatorios en los campos, lo que abre la puerta a ataques de inyección | Baja | 3.2 |
| SEG-12 | Verificar en los servicios web que no es posible obtener información útil del sistema al violar la restricción de tipos de datos. | El servicio web filtra información interna del sistema cuando se violan las restricciones de tipos de datos en los campos | Media | 4.6 |
| SEG-13 | Verificar en los servicios web que no es posible obtener información útil del sistema al violar los valores límites de los campos. | El servicio web filtra información interna del sistema cuando se introducen valores que superan los límites permitidos en los campos | Media | 5.2 |
| SEG-14 | Los servicios web controlan la reflexión inmediata y los ataques almacenados. Protegiendo de la inyección del tipo "Cross-Site Scripting". | El servicio web es vulnerable a ataques Cross-Site Scripting (XSS) | Alta | 7.4 |
| SEG-15 | Verificación de vulnerabilidades específicas del aplicativo auditado, como puede ser por ejemplo en un servicio de webmail, no poder enviar mensajes suplantando la identidad de otro usuario. | El servicio web posee vulnerabilidades específicas, como ... | N/A | N/A |
En la metodología definida para la auditoría de seguridad de aplicaciones móviles, los test se basan en el estándar establecido por OWASP para este tipo de aplicaciones y que incluyen las siguientes verificaciones (61 pautas, incluidas en el Top TEN de OWASP para aplicaciones móviles, revisión 2016):
FECHA ACTUALIZACIÓN
21/11/2025
Índice