OWASP WSTG — Testing Guide

¿Qué es el OWASP WSTG?

El Web Security Testing Guide (WSTG) es la guía metodológica más completa de OWASP para el testing de seguridad de aplicaciones web. La versión actual es WSTG v4.2 (2021, con actualizaciones incrementales hasta 2025). Contiene más de 90 casos de prueba organizados en 12 categorías, cada uno con descripción, objetivo, procedimiento de prueba, herramientas y referencias.

WSTG = El manual del pentester web

Si el ASVS define qué debe cumplir una aplicación, el WSTG define cómo comprobar que lo cumple. Cada test tiene un ID único (WSTG-INPV-01, WSTG-AUTH-02...) que permite referenciar hallazgos de forma estandarizada en informes de pentest.

Las 12 categorías de tests

Terminal

WSTG v4.2 — Categorías de testing ══════════════════════════════════════════════════════════════ OTG-INFO Information Gathering (14 tests) OTG-CONF Configuration & Deployment (12 tests) OTG-IDNT Identity Management (5 tests) OTG-ATHN Authentication (10 tests) OTG-AUTHZ Authorization (4 tests) OTG-SESS Session Management (9 tests) OTG-INPV Input Validation (18 tests) OTG-ERR Error Handling (2 tests) OTG-CRYPT Cryptography (4 tests) OTG-BUSLOGC Business Logic (9 tests) OTG-CLIENT Client Side Testing (12 tests) OTG-APIT API Testing (7 tests) ← añadido en v4.2

Ejemplo: WSTG-AUTHN-06 — Testing for Browser Cache Weaknesses

Test WSTG-AUTHN-06 (resumen)

text

Ejemplo: WSTG-INPV-05 — SQL Injection

Test WSTG-INPV-05 — Detección manual de SQLi

bash

Metodología de un pentest web con WSTG

Fases del engagement

Terminal

Fase Actividad WSTG Duración típica ──────────────────────────────────────────────────────────────────────── RECONOCIMIENTO INFO (OTG-INFO-01 a 14) 1–2 días - Fingerprinting de tecnologías - Enumeración de subdominios - Análisis de metadatos CONFIGURACIÓN CONF (OTG-CONF-01 a 12) 0.5–1 día - Revisión de headers HTTP - Transport Layer Security - Network/Infrastructure config AUTENTICACIÓN ATHN + SESS (OTG-ATHN + OTG-SESS) 1–2 días - Política de contraseñas - Fuerza bruta, lockout - Gestión de sesiones, CSRF AUTORIZACIÓN AUTHZ (OTG-AUTHZ-01 a 04) 0.5 días - Testing de IDOR - Escalada de privilegios LÓGICA BUSLOGC (OTG-BUSLOGC-01 a 09) 1–2 días - Flujos de negocio explotables INYECCIONES INPV (OTG-INPV-01 a 18) 2–3 días - SQLi, XSS, XXE, SSTI, Command Injection CLIENTE CLIENT (OTG-CLIENT-01 a 12) 1 día - DOM XSS, clickjacking, CORS

Plantilla de informe con IDs WSTG

Hallazgo en informe de pentest

markdown

WSTG en el contexto de herramientas y estándares

Terminal

Herramienta / Framework Relación con WSTG ────────────────────────────────────────────────────────────────── Burp Suite Herramienta principal para ejecutar tests WSTG OWASP ZAP Alternativa open source para tests WSTG automatizados OWASP ASVS WSTG verifica los requisitos ASVS OWASP Top 10 Cada categoría del Top 10 tiene tests WSTG asociados PCI DSS req. 11.3 Exige pentest siguiendo metodología reconocida (WSTG/PTES) ISO 27001 A.12.6 Control de vulnerabilidades técnicas → WSTG como metodología Informe de pentest Referenciar hallazgos con ID WSTG es la práctica estándar

La mayoría de los contratos de pentest enterprise ya especifican: "La metodología utilizada debe seguir OWASP WSTG v4.x". Si eres pentester, conocer el WSTG de memoria es requisito para trabajar con clientes enterprise.

Recursos y herramientas

WSTG oficial: owasp.org/www-project-web-security-testing-guide — incluye todos los tests en HTML navegable.
WSTG Checklist: Excel/Markdown con todos los test IDs para usar como checklist en engagements.
DefectDojo: plataforma de gestión de hallazgos con soporte nativo para IDs WSTG.
PlexTrac / Dradis: generadores de informes de pentest con templates WSTG.
TryHackMe / HackTheBox: laboratorios organizados por categorías WSTG para practicar.

Por Aitana Security Team

Volver a la Wiki