Caso grupal: Auditoría de código de una aplicación
Enviado por Iono Ce Tillas • 11 de Julio de 2022 • Tareas • 3.241 Palabras (13 Páginas) • 271 Visitas
Asignatura | Datos del alumno | Fecha |
Seguridad en el Software | Apellidos: Gómez Tejeda | 20/06/22 |
Nombre: Karla Adriana |
Caso grupal: Auditoría de código de una aplicación
Objetivos de la actividad
Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o evento que tiene el potencial de causarle daño, o de hacerlo a sus datos y recursos. Con la presente actividad se pretende conseguir los siguientes objetivos:
- Analizar el código fuente de una aplicación para poder determinar el nivel de riesgo de las vulnerabilidades encontradas.
- Conocer el tipo de defectos de seguridad que se pueden cometer en lenguajes como C y Java.
- Prepararse para poder analizar el código en base al conocimiento de los defectos de programación que se pueden cometer.
- Proporcionar información relevante sobre cuáles serían las recomendaciones de solución más eficaces para mitigar los efectos de la vulnerabilidad encontrada durante la auditoría del código fuente de una aplicación.
Descripción de la actividad y pautas de elaboración
Esta actividad profundiza en el estudio de la práctica de seguridad del software más importante que implantar en un Ciclo de Vida de Desarrollo Seguro de un Software (S-SDLC): revisión estática de código, mediante el uso y manejo de la aplicación de análisis estático de código de toda una aplicación.
Para ello vais a analizar quince (15) códigos fuente con el objetivo de buscar los errores de programación relativos a seguridad.
Una descripción detallada del ejercicio, el código o códigos por analizar, la herramienta con su licencia y un tutorial de ayuda para la realización de análisis estático están disponibles en el siguiente enlace en un archivo comprimido:
http://descargas.unir.net/escueladeingenieria/05 Seguridad_del_Software/LaboratorioISW.rar
[pic 1]
Se intento descargar dicha carpeta, sin embargo, al momento de descargar mostraba demasiado tiempo para concretarla, una vez que llegó al 84% la descarga falló. Por lo que no se pudo hacer uso de estos materiales, se buscaron alternativas.
Las herramientas de análisis estático de código fuente son imprescindibles para la realización de este tipo de análisis del código, pero puede presentar falsos positivos y negativos. Básicamente, la labor del auditor es desechar los falsos y quedarse con los positivos verdaderos, así como la detección de falsos negativos no detectados por la herramienta. Tenedlo en cuenta a la hora de realizar el análisis de los códigos.
Deberéis entregar una memoria en la que se explique la auditoría de 15 hallazgos (de diferente categoría, p. ej.: 1 del tipo XSS, 1 Buffer Overflow, etc.) del código detectados por la herramienta (remarco solo 15, pues la herramienta detecta más). Se debe incluir un estudio detallado de los mismos (incluir esquemas, gráficos de llamadas, flujos del programa, porciones de código explicadas, etc.) que explique la vulnerabilidad encontrada y se proponga una posible solución.
Así mismo, se valorará la inclusión, en la explicación de cada uno de los 15 errores, de la vulnerabilidad referenciada por su código CWE (Common Weakness Enumeration) acorde al mismo.
En la memoria se debe incluir una lista de los verdaderos positivos, falsos positivos y falsos negativos presentados por la herramienta, así como una conclusión acerca de su desempeño.
Extensión
En vuestra solución a la actividad solo se deberán incluir las tablas que se piden rellenar a lo largo del enunciado de la actividad. La extensión máxima de la actividad será de 20 páginas.
Rúbrica
Auditoría de código de una aplicación | Descripción | Puntuación máxima (puntos) | Peso % |
Criterio 1 | Resultado del análisis de cada una de las 15 vulnerabilidades detectadas por la herramienta. | 0,44 x 15 = 6,5 | 65 % |
Criterio 2 | Identificación correcta del código CWE de las vulnerabilidades encontradas. | 1,5 | 15 % |
Criterio 3 | Calidad de la memoria. | 1 | 10 % |
9 | 90 % |
El Foro de ésta actividad tendrá un valor del 10% de la puntuación. Cada grupo debe de presentar un resumen del desarrollo de su trabajo en el Foro de la Actividad. Cada miembro debe explicar su aportación individual al grupo. Además, se requiere que cada estudiante haga al menos dos sugerencias, críticas o comentarios al trabajo de otros grupos.
Empezaremos con un reconocimiento activo para la seguridad de aplicaciones web, sobre código fuente del sitio <https://micampus.unir.net/>
[pic 2]
Se encontraron de ALTO RIESGO las siguientes vulnerabilidades:
Se identifico un JSON expuesto
- https://micampus.unir.net/web-app-manifest/manifest.json/
[pic 3]
CWE-94: Improper Control of Generation of Code ('Code Injection')
Descripción del problema: Los datos sensibles podrían quedar expuestos si se registran y no se cifran o se utilizan con claves débiles en su generación y gestión, así como algoritmos o técnicas de hashing deficientes.
Recomendación para la mitigación: Es posible utilizar la ofuscación de registros y datos, cifrar el canal de comunicación y utilizar SSL bidireccional. Es importante no almacenar datos sensibles si no es necesario y cifrarlos, tanto en reposo como en tránsito, no exponer información sensible.
- External content embedded on a page (contenido externo incrustado en una página)
- https://micampus.unir.net/sfi9876 https://du11hjcvx0uqb.cloudfront.net/dist/brandable_css/no_variables/bundles/fonts-43e9c545fc.css
[pic 4]
Se comprueba el rastro de dicha vulnerabilidad
[pic 5]
[pic 6]
Está información se encuentra con mayores especificaciones en el rastro “fonts-43e9c545fc”
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
...