Documente Academic
Documente Profesional
Documente Cultură
ebringas2004@yahoo.es
ebringas@sunat.gob.pe
Auditoria y Seguridad de las Tecnologías de Información
Agenda
Sesión 12: Auditoria a la Seguridad de Aplicaciones
Condicion de competencia:
• SRG utils.cc linea 495
Fuente: https://www.us-cert.gov/bsi
Auditoria y Seguridad de las Tecnologías de Información
Reglas de Codificacion
Most Recently Updated Rules [Ordered by Last Modified Date]
• Wsprintf [4/26/07 8:23:37 AM]
Be careful with string formatting operations.
• WideCharToMultiByte [4/26/07 8:23:06 AM]
The destination string buffer must be long enough to hold the same
number of characters, not bytes, as contained in the source string.
• VFORK [4/26/07 8:22:44 AM]
Vulnerable to race conditions. Don't use vfork() in your programs.
• Utime [4/26/07 8:22:06 AM]
Vulnerable to TOCTOU issues
• TTYNAME [4/26/07 8:21:05 AM]
Can return a non-null-terminated string.
Fuente: https://buildsecurityin.us-cert.gov/daisy/bsi/76.html
Auditoria y Seguridad de las Tecnologías de Información
Reglas de Codificacion
• acct() [2/27/07 1:28:19 PM]
Be careful with location specified, especially use of NULL
• AddAccess-ACE [2/27/07 10:29:43 AM]
Access Control Entries not inheritable
• AfxLoadLibrary [4/10/07 9:46:45 AM]
Vulnerable to "tainted" DLLs placed in a location in the search path
before the intended DLL
• AfxParseURL [2/27/07 1:31:37 PM]
Does not fully comply with URL standards
• au_to_path() [2/27/07 1:33:58 PM]
Be careful with paths passed as a parameter
• basename() [2/27/07 1:34:33 PM]
Vulnerable to path spoofing
• bcopy() [2/27/07 1:35:15 PM]
Be careful with buffer size and termination
....................
....................
• Wsprintf [4/26/07 8:23:37 AM]
Be careful with string formatting operations.
Fuente: https://buildsecurityin.us-cert.gov/daisy/bsi/76.html
Auditoria y Seguridad de las Tecnologías de Información
Herramientas analizadoras de la
seguridad de códigos fuentes:
Fuente: https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html
Auditoria y Seguridad de las Tecnologías de Información
Herramientas analizadoras de la
seguridad de códigos fuentes:
Algunos Tools analizadores de codigo fuente para Java:
• Bandera — analyser for Java
• Checkstyle — analyse Java and apply coding standard
• ClassCycle — analyse Java class cycles and class and package
dependencies (Layers)
• FindBugsFindBugs — an open-source static bytecode analyzer
for Java (based on JakartaFindBugs — an open-source static
bytecode analyzer for Java (based on Jakarta BCEL).
• Jlint — for Java
• Soot — A Java program analysis and compiler optimization
framework
• Bugle — Use Google Code Search
(http://www.google.com/codesearch) to find bug patterns in open
source software.
Fuente: http://findbugs.sourceforge.net/
Auditoria y Seguridad de las Tecnologías de Información
Herramientas analizadoras de la
seguridad de códigos fuentes:
1.- Mirando el FindBugs:
Manual
http://findbugs.sourceforge.net/manual/installing.html
https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowledge/sdlc.html
∙ Coding Rules
https://buildsecurityin.us-cert.gov/bsi-rules/home.html
http://samate.nist.gov/index.php/Main_Page