Laboratorio #1: Auditoría de código de una aplicación con la herramienta de Fortify
OLIVER 1993Ensayo1 de Febrero de 2021
594 Palabras (3 Páginas)778 Visitas
Asignatura | Datos del alumno | Fecha |
Seguridad en el Software | Apellidos: Oliver Jiménez | 13 de diciembre de 2020 |
Nombre: Gerardo |
Actividades[pic 1]
Laboratorio #1: Auditoría de código de una aplicación con la
herramienta de Fortify
Desarrollo de la Actividad:
En este laboratorio se pretende que te inicies en el curso y manejo de la aplicación de análisis estático de código Fortify, mediante el análisis de una aplicación incluida como ejemplo integrado en la herramienta. Se describe como utilizar los componentes de la aplicación para realizar el siclo de revisión de código que genera la aplicación de Fortify.
Dentro de la aplicación de Fortify se encuentran varias aplicaciones en las cuales se pueden seleccionar para poder realizar auditorias de prueba para poder comprender el funcionamiento de Fortify, en este caso utilizaremos la aplicación de WebGoat(.NET) para poder realizar las pruebas.
[pic 2][pic 3]
Dentro de WebGoat se nos muestra una pantalla con los problemas con los que centa la aplicación y se pueden filtrar por CRITICO, ALTO, MEDIO y BAJO
[pic 4][pic 5]
En este ejemplo utilizaremos los problemas CRITICOS para poder visualizar y filtrar cada uno de ellos.
[pic 6][pic 7]
Al seleccionar cualquiera de los problemas se muestra un resumen indicando el tipo de vulnerabilidad y una explicacion, tambien podemos seleccionar diferentes vistas para observar el codigo, el problema y como se podria solucionar.
[pic 8][pic 9]
Tambien se pueden aplicar filtros para identificar los tipos de errores en los cuales nos queremos centrar.
[pic 10]
[pic 11]
Al seleccionar una categoria podemos observar todos los probliemas correspondientes a esa categoria, y asi podremos utlilizar la herramienta de SMART FIX para poder visualizar los flujos de los problemas seleccionados a evaluar.
En esta ocacion no nos mostro la misma informacion que en el documento proporcionado para la actividad, asi que utilizamos otro error que nos miestra la aplicación y utilizaremos la herramienta de SMART FIX.
[pic 12][pic 13][pic 14][pic 15]
En este caso solo se nos mostraron estas conexiones correspondientes con el error seleccionado y el flujo que tiene.
[pic 16]
[pic 17]
Aparte de el flujo que tiene este error en la palicacion tambien podemos ver el codigo y las partes que lo afectan y podemos observar tambien recomendaciones para poder corregir el problema auditado.
[pic 18]
En esta parte tambien se pueden realizar comentarios o anotaciones para poder tener un mayor control de las correcciones realizadas o pendientes por realizar.
[pic 19][pic 20]
En el apartado de Informacion de la version podemos obserbar todos nuestrros comentarios realizados para poder continuar sin ninguna complicacion.
[pic 21][pic 22]
Tambien podemos realizar reportes con la aplicación de Fortify para poder mostrar los resultado de los riesgos de la aplicación auditada.
[pic 23]
[pic 24]
[pic 25]
...