Hoy en día, la seguridad está más de moda que nunca. Casos de espionaje, noticias en los principales medios, tecnologías supuestamente seguras que se revelan como vulnerables... Sin embargo, esta caracerística suele ser la gran olvidada durante el desarrollo de aplicaciones web, y no se realizan pruebas que aseguren un mínimo de seguridad durante el ciclo de vida del portal (suelen hacerse, de forma reactiva, después de ocurrir un incidente de seguridad)
En esta charla se pretende explicar el proceso que se lleva a cabo en una auditoría de seguridad a una aplicación web, centrando la atención en Drupal, y desde el punto de vista de un potencial atacante. Se detallarán los pasos propuestos por la OWASP testing guide, como la obtención de información, y se mostrarán ataques concretos, con la intención de concienciar de la importancia de un desarrollo seguro y de la integración de la seguridad como un requisito más de la aplicación. Todo ello centrado en una aplicación Drupal.