Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 414 vistas

    Cómo Utilizar Audit Workbench

    Cargado por

    taras_martin
    El documento describe cómo utilizar Audit Workbench para analizar una aplicación Java. Se identifican automáticamente los tipos de código fuente y archivos de configuración. El Issues Panel muestra listas de hallazgos agrupados por prioridad. Al seleccionar un hallazgo, se muestra el código fuente afectado y el camino de análisis desde la entrada de datos hasta el problema. El Auditing Issues Panel proporciona más detalles sobre el hallazgo seleccionado y permite clasificar los resultados de la auditoría.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd

    Cómo Utilizar Audit Workbench

    Cargado por

    taras_martin
    414 vistas7 páginas
    El documento describe cómo utilizar Audit Workbench para analizar una aplicación Java. Se identifican automáticamente los tipos de código fuente y archivos de configuración. El Issues Panel muestra listas de hallazgos agrupados por prioridad. Al seleccionar un hallazgo, se muestra el código fuente afectado y el camino de análisis desde la entrada de datos hasta el problema. El Auditing Issues Panel proporciona más detalles sobre el hallazgo seleccionado y permite clasificar los resultados de la auditoría.

    Descripción original:

    practica audit

    Título original

    Cómo+utilizar+Audit+Workbench

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe cómo utilizar Audit Workbench para analizar una aplicación Java. Se identifican automáticamente los tipos de código fuente y archivos de configuración. El Issues Panel muestra listas de hallazgos agrupados por prioridad. Al seleccionar un hallazgo, se muestra el código fuente afectado y el camino de análisis desde la entrada de datos hasta el problema. El Auditing Issues Panel proporciona más detalles sobre el hallazgo seleccionado y permite clasificar los resultados de la auditoría.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    414 vistas7 páginas

    Cómo Utilizar Audit Workbench

    Cargado por

    taras_martin
    El documento describe cómo utilizar Audit Workbench para analizar una aplicación Java. Se identifican automáticamente los tipos de código fuente y archivos de configuración. El Issues Panel muestra listas de hallazgos agrupados por prioridad. Al seleccionar un hallazgo, se muestra el código fuente afectado y el camino de análisis desde la entrada de datos hasta el problema. El Auditing Issues Panel proporciona más detalles sobre el hallazgo seleccionado y permite clasificar los resultados de la auditoría.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    Está en la página 1de 7

    Cmo utilizar Audit Workbench

    El mtodo ms sencillo para el anlisis de una aplicacin Java es indicar a Audit


    Workbench el directorio de base donde est el cdigo fuente de la aplicacin. Con esta
    informacin, Fortify SCA identifica automticamente todos los tipos de cdigo fuente
    como Java, Java Server Pages (JSP), PL / SQL y TSQL y archivos de configuracin XML
    en los archivos de los directorios especificados. Tambin identifica y utiliza los archivos
    .jar que encuentra para resolver nombres de smbolos definidos en el cdigo fuente.

    La aplicacin Fortify SCA est disponible en el aula virtual, en formato .iso sobre
    sistema operativo windows para lo que necesitara un software de virtualizacin poen
    source, como VMWARE Player o VIRTUAL BOX.

    Seguidamente en el software de virtualizacin elegido se debe crear una mquina


    virtual que arranque desde la imagen .iso bajada del aula virtual.

    Una vez arrancada la mquina virtual:

    En Windows desde el men INICIO, navegar: Programas HP Fortify SCA and


    Application Audit Workbench.

    Se mostrar la siguiente figura, selecciona Scan Java Project.

    Figura 1. Ventana de Inicio

    Seleccionar el siguiente proyecto a abrir:


    C:\HP Fortify\HP_Fortify_SCA_and_Apps_3.x\Samples\advanced\wegoat
    Seleccionar la versin de Java 1.5.

    Figura 2. Seleccin de versin de Java.

    Seleccionar los chequeos conforme a lo mostrado en la siguiente pantalla:

    Figura 3. Ventana de Opciones


    La figura siguiente presenta la organizacin del interfaz de la herramienta:

    Figura 4. Interfaz de la herramienta. Extrada de HP Fortify Audit Workbench


    User Guide
    La siguiente figura presenta los resultados obtenidos del escaneo del cdigo fuente
    de la aplicacin.

    Figura 5. Issues Panel

    Recopilar informacin de alto nivel acerca de los temas presentados en el


    Issues Panel:

    Listas de hallazgos o vulnerabilidades, criticas, altas, medias y bajas (folfer taps)


    con el nmero de incidencias detectadas en cada nivel de prioridad. Al hacer clic en
    una de la lista, muestra los problemas asociados a la prioridad en el rbol del
    Navegador. Seleccione crticas y observe que entre los elementos de la lista, tenemos
    los siguientes conjuntos de problemas:

    o Command Injection.
    o Dangerous File Inclusion.
    o Password Management Hardcode Password
    o Pacth Manipulation
    o Privacy Violation
    o Race condition
    o SQL Injection
    o XPath Injection
    La forma de los elementos en el rbol de navegacin del Issues Panel es controlado
    por el men Pull-Dwon Group By (figura 5). Los productos se pueden agrupar por
    categoras (por defecto), SANS Top 25, OWASP Top 10, etc. Selecciona fuente de
    agrupar por Source en el men desplegable y observa que la mayora de los
    problemas son causados por entradas del usuario devueltas por
    ServletRequest.getParameter (), como era de esperar en una aplicacin Web.

    Utiliza el campo bsqueda del Issues Panel para realizar una y ver los hallazgos o
    problemas que coinciden con la bsqueda. Al hacer clic en el icono Advanced, se
    pueden realizar bsquedas en cualquier campo como por ejemplo identificador de
    instancia, comentarios, o mediante el uso de un lenguaje de consulta avanzada.
    Introduce la cadena de consulta SqlInjection en el campo de bsqueda y pulsa la
    tecla Intro. Pulsa X situada junto al campo de bsqueda para borrar la bsqueda y
    mostrar todos los temas de nuevo.

    Haz click en la categora de inyeccin SQL para que se expanda, selecciona uno de
    los hallazgos de la lista en rbol del Issues Panel y hacer click en alguno de ellos, se
    muestra el archivo de origen y el nmero de lnea donde se produce el problema en
    el Secure Code Viewing Panel.

    Selecciona la carpeta inyeccin SQL BackDoors.Java:106 (liena). Observa cmo los


    paneles Analysis Trace y Summary muestran el problema o hallazgo. Observa que en
    el Secure Codev Viewing Panel se muestra el cdigo fuente, con los argumentos
    de datos contaminados y la funcin afectada en azul. La capacidad de navegar
    fcilmente a travs de los distintos nodos del cdigo fuente facilita su comprensin.

    Haz clic en el tema seleccionado con el botn derecho, aparece un men, puedes
    desplazar el problema a otras listas, suprimir el problema, o generar
    automticamente un informe de error.

    Revisa el camino seguido desde la fuente hasta el hallazgo usando el Uso


    del panel de Analysis Trace Panel.
    Cada nodo o punto del Analysis Trace Panel corresponde a un paso o nodo de la
    traza del hallazgo o problema seleccionado. Para cada problema se tiene un flujo de
    datos en los que cada nodo corresponde a una llamada a una funcin, asignacin o
    datos retornados por cualquier declaracin involucrada en el camino entre la fuente
    y el hallazgo. Se tratan como eventos a lo largo de una lnea de tiempo, comienza en
    la parte superior Analysis Trace Panel y progresa hasta el ltimo nodo, que
    es donde se produce el problema.

    Selecciona el primer nodo de la traza del problema seleccionada. El cdigo fuente


    correspondiente se muestra en el Secure Code Viewing Panel, con la funcin de
    entrada del usuario que eventualmente provoca el problema seleccionado.

    Selecciona cada uno de los nodos entre la fuente (primer nodo) y el ltimo nodo.
    Comprueba que ninguna de las expresiones a travs de la cual el flujo del Analysis
    Trace Panel realiza ninguna validacin de la entrada contaminada que disminuya
    el riesgo de inyeccin de SQL. Los iconos de la tabla siguiente aparecen en cada ruta
    o nodo de flujo de datos para indicar el tipo de expresin del mismo.
    Figura 6. Tabla Iconos Analysis Trace Panel. Extrada de HP Fortify Audit
    Workbench User Guide
    Revisin mediante el Auditing Issues Panel

    El Auditing Issues Panel tiene el propsito de proporcionar informacin


    adicional sobre el problema seleccionado en el Issues Panel, permite al usuario
    realizar anotaciones y comentarios y asignar un estado de auditora.
    Observa que la categora del hallazgo est en la lista de vulnerabilidades en negrita a
    la derecha del panel, junto con la familia vulnerabilidad a la que pertenece y el
    analizador especfico que se ha detectado. El campo de ubicacin muestra la
    relativePath de la raz del proyecto del archivo en el que se descubri el problema.

    Figura 7. Auditing Issues Panel. Extrada de HP Fortify Audit Workbench User


    Guide

    Selecciona el panel Detail para ver una descripcin ms detallada del problema,
    incluye una explicacin del mismo, ejemplos, recomendaciones sobre la manera de
    resolver el problema, consejos tiles sobre temas de auditora similares y referencias
    a otras lecturas sobre el tema.

    Selecciona el panel Summary, contiene una descripcin breve del problema y los
    motivos por los que es vulnerable. En el lado derecho del panel hay varios mens
    desplegables y dos botones. Los mens desplegables son para registrar los
    resultados de una auditora clasificando el problema como:
    o No is an Issue.
    o Reliability Issue.
    o Bag Practice.
    o Suspicius.
    o Exploitable.
    Si despus de la auditora se determina que el problema no existe y el cdigo es en
    realidad seguro, se podra suprimir haciendo clic en Suprimir X.

    También podría gustarte

    pFad - Phonifier reborn

    Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

    Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy