Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
Índice de Figuras...................................................................................................... 2
Auditoría de código de una aplicación con la herramienta de HP Fortify ....................... 3
1. Command Injection: ........................................................................................ 4
1.1 Estudio Detallado ........................................................................................... 4
2. Cross-Site Scripting: Persistent. ................................................................... 6
2.1 Estudio Detallado. .......................................................................................... 6
3. Cross-Site Scripting: Reflected. .................................................................... 9
3.1 Estudio Detallado. .......................................................................................... 9
4. Dynamic Code Evaluation: Code Injection................................................ 11
4.1 Estudio Detallado. ......................................................................................... 11
5. Key Management: Hardcoded Encryption Key. ....................................... 13
5.1 Estudio Detallado. ......................................................................................... 13
6. Open Redirect. .................................................................................................. 15
6.1 Estudio Detallado. ......................................................................................... 15
7. Password Management: Hardcoded Password. ...................................... 17
7.1 Estudio Detallado. ......................................................................................... 17
8. Key Management: Hardcoded Encryption Key. ....................................... 19
8.1 Estudio Detallado. ......................................................................................... 19
9. XML External Entity Injection. ................................................................... 22
9.1 Estudio Detallado. ........................................................................................ 22
10. XPath Injection............................................................................................ 24
10.1 Estudio Detallado. .................................................................................... 24
TEMA 3 – Actividades
1
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Índice de Figuras
TEMA 3 – Actividades
2
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Actividades
El método más sencillo para el análisis de una aplicación Java es indicar a Audit
Workbench el directorio de base de los archivos fuente que componen la aplicación.
Con esta información, Fortify SCA identifica automáticamente todos los tipos de
fuentes conocidas de archivos en los directorios especificados, como archivos fuente de
Java, Java Server Pages (JSP), PL / SQL y TSQL archivos, y archivos de configuración
XML. También identifica y utiliza los archivos .jar que encuentra para resolver nombres
de símbolos definidos en el código fuente.
TEMA 3 – Actividades
3
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
1. Command Injection:
WSDLScanning.java:143
Figura 1. Vulnerabilidad.
Figura 3. ParameterParser.
TEMA 3 – Actividades
4
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Los datos se utilizan como parte de una cadena que representa un comando que
ejecuta la aplicación, el comando se ejecuta con setOperationName() en la línea
143 de WSDLScanning.java.
Figura 4. WSDLScanning.
1.1.3. Diagrama
Figura 5. Diagrama.
TEMA 3 – Actividades
5
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Figura 6. Vulnerabilidad 2.
TEMA 3 – Actividades
6
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Figura 8. WSDLScanning
Los datos se incluyen en el contenido dinámico que se envía a un usuario web sin
ser validado, los datos se envían en addElement() en la línea 221 de
WSDLScanning.java
Figura 9. WSDLScanning 2.
TEMA 3 – Actividades
7
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
2.1.3. Diagrama.
TEMA 3 – Actividades
8
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Los datos se incluyen en el contenido dinámico que se envía a un usuario web sin
ser validado, los datos se envían en addElement() en la línea 920 de
AbstractLesson.java.
TEMA 3 – Actividades
9
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
3.1.3. Diagrama.
Se puede notar que la información ingresa desde la línea 150 y llega a la línea 221 en
donde está el elemento addElement(), el cual realiza la validación durante el proceso.
TEMA 3 – Actividades
10
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
TEMA 3 – Actividades
11
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
4.1.3. Diagrama.
TEMA 3 – Actividades
12
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
TEMA 3 – Actividades
13
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
protegida por la clave de cifrado está comprometida, los propietarios del sistema
se verán obligados a elegir entre seguridad y disponibilidad.
5.1.3. Diagrama.
TEMA 3 – Actividades
14
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
6. Open Redirect.
Redirect.jsp:12(SharedSink)
From redirect.jsp:12(OpenRedirect)
TEMA 3 – Actividades
15
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
6.1.3. Diagrama.
TEMA 3 – Actividades
16
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
TEMA 3 – Actividades
17
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
7.1.3. Diagrama.
TEMA 3 – Actividades
18
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
TEMA 3 – Actividades
19
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Los datos se utilizan para construir dinámicamente una consulta SQL, en la figura 35 se
puede constar que los datos se pasan a executeQuery () en SqlNumericInjection.java en
la línea 130.
TEMA 3 – Actividades
20
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
8.1.3. Diagrama.
TEMA 3 – Actividades
21
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
TEMA 3 – Actividades
22
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
9.1.3. Diagrama.
TEMA 3 – Actividades
23
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
TEMA 3 – Actividades
24
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
Los datos utilizados para construir dinámicamente una consulta XPath, la consulta se
pasa a evaluar () en XPATHInjection.java en la línea 158.
10.1.3. Diagrama.
TEMA 3 – Actividades
25
Asignatura Datos del alumno Fecha
Apellidos: Vera Gaibor
Seguridad en el
08/11/2018
Software
Nombre: Catherine
TEMA 3 – Actividades
26