Pages

Herramientas online

viernes, 7 de noviembre de 2014

Web Application Protection (testiando las vulnerabilidades de una página antes de producción)


wap2 Web Application ProtectionEn el proceso de desarrollo de un aplicativo , es necesario contar con ciertos procedimientos antes de subir esa  a producción. Uno de esos pasos es una revisión de para testear que en la fase de desarrollo no se haya cometido ningún fallo.

Es por eso que nacen proyectos como , que se encargará de testear la seguridad de los aplicativos web en PHP.
, es capaz de detectar el siguiente conjunto de vulnerabilidades:
  • SQL injection using MySQL, PostgreSQL and DB2 DBMS
  • Reflected cross-site scripting (XSS)
  • Stored XSS
  • Remote file inclusion
  • Local file inclusion
  • Directory traversal
  • Source code disclosure
  • OS command injection
  • PHP code injection
Además de la particularidad de poder detectar el conjunto de fallos, aplicará una corrección del código fuente.
Lo primero que haremos será descargar la herramienta:
wap Web Application Protection
Una vez que hemos descargado la herramienta lo que tendremos que hacer es escoger aquel proyecto que queramos analizar.

Para la prueba escogeremos el proyecto de DVWA, bajamos el proyecto y lanzamos el análisis:
wap3 Web Application Protection
Lo que hará la herramienta es analizar el proyecto en PHP y buscar por una vulnerabilidad en concreto, yo le he indicado que busque vulnerabilidades del tipo SQL Injection.

Una vez que la herramienta a analizado el código podremos ver los resultados:
wap4 Web Application Protection
Podemos ver que la herramienta a analizado el proyecto que le hemos pasado y, además ha podido sacar la SQL Injection y ha podido subsanarla.

Como os decía, la herramienta es capaz de aplicar la corrección para evitar la inyección detectada.
wap5 Web Application Protection
Aquí tenemos el código que subsanaría el fallo de la aplicación.

Otra de las cosas que es capaz de detectar la aplicación son falsos positivos:
wap6 Web Application Protection
Sin duda, además de pasar los tests oportunos como pasar un QA, tienen que haber tests específicos para pasar los checks de seguridad.

En este caso, WAP, no cubre todos los aspectos, pero por lo menos es una capa de seguridad que podemos automatizar antes de subir la aplicación a producción.

[+]http://sourceforge.net/projects/awap

Fuente: http://www.dragonjar.org/web-application-protection.xhtml