Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Actividad 2 Grupal Auditoria de Código Estandar v1 Clean

    Cargado por

    Francisco Merchan
    41 vistas7 páginas

    Título original

    Actividad 2 Grupal Auditoria de código Estandar v1 clean

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    41 vistas7 páginas

    Actividad 2 Grupal Auditoria de Código Estandar v1 Clean

    Cargado por

    Francisco Merchan

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    Asignatura Datos del alumno Fecha

    Apellidos:
    Seguridad en el Software
    Nombre:

    Caso grupal: Auditoría de código de una aplicación

    Objetivos de la actividad

    Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o


    evento que tiene el potencial de causarle daño, o de hacerlo a sus datos y recursos.
    Con la presente actividad se pretende conseguir los siguientes objetivos:

     Analizar el código fuente de una aplicación para poder determinar el nivel de


    riesgo de las vulnerabilidades encontradas.
     Conocer el tipo de defectos de seguridad que se pueden cometer en lenguajes
    como C y Java.
     Prepararse para poder analizar el código en base al conocimiento de los defectos
    de programación que se pueden cometer.
     Proporcionar información relevante sobre cuáles serían las recomendaciones de
    solución más eficaces para mitigar los efectos de la vulnerabilidad encontrada
    durante la auditoría del código fuente de una aplicación.

    Descripción de la actividad y pautas de elaboración

    Esta actividad profundiza en el estudio de la práctica de seguridad del software más


    importante que implantar en un Ciclo de Vida de Desarrollo Seguro de un Software
    (S-SDLC): revisión estática de código, mediante el uso y manejo de la aplicación de
    análisis
    © Universidad Internacional de Laestático de
    Rioja (UNIR) código en un caso real.

    Para ello se va a analizar quince (15) hallazgos reportados por la herramienta de


    análisis estático de código profesional “SCA FORTIFY” (de la empresa Micro Focus) al

    Actividades 1
    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en el Software
    Nombre:

    escanear el código fuente de la aplicación ASTERISK (PBX de software libre). El


    objetivo de buscar los errores de programación relativos a seguridad.

    Las herramientas de análisis estático de código fuente son imprescindibles para la


    realización de este tipo de análisis, pero puede presentar falsos positivos y
    negativos. Básicamente, la labor del auditor es desechar los falsos y quedarse con
    los positivos verdaderos, así como la detección de falsos negativos no detectados
    por la herramienta. Tenedlo en cuenta a la hora de realizar el análisis de los códigos.

    Para acceder a la citada herramienta hay que logarse y acceder al escritorio virtual
    de la UNIR.

    La aplicación FORTIFY está disponible, ya instalada, en el escritorio virtual de la


    UNIR:
    https://salainformaticaunir.u-cloudservices.com/

    También la aplicación se puede descargar del escritorio virtual, por si se quiere


    instalar en su máquina local.

    Al logarse en el escritorio virtual se accederá a la siguiente pantalla, donde


    aparecen los diferentes escritorios. Se debe pulsar en el botón Conectar del
    escritorio Ciberseguridad y Forense

    © Universidad Internacional de La Rioja (UNIR)

    Figura 1. Escritorio virtual de la UNIR

    Actividades 2
    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en el Software
    Nombre:

    Al pinchar en conectar accedemos el escritorio virtual Ciberseguridad y forense.

    Figura 2. Escritorio virtual Ciberseguridad y Forense

    En este escritorio accedemos a la carpeta “Master en Seguridad Informática”.

    © Universidad Internacional de La Rioja (UNIR)

    Figura 3. Carpeta Máster Seguridad Informática.

    Actividades 3
    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en el Software
    Nombre:

    Dentro de la carpeta anterior se debe acceder a otra carpeta interior a la misma


    denominada “Seguridad del Software” donde se encuentra un fichero denominado
    “Asterisx limpio result”. En este fichero ya se encuentra el código fuente de la
    herramienta y la auditoría resultado del escaneo ya realizado por la herramienta.

    Figura 4. Fichero “Asterisx limpio result”.

    Al hacer doble click en el citado fichero automáticamente se ejecutará la


    herramienta Audit Workbench de Fortify.

    © Universidad Internacional de La Rioja (UNIR)

    Figura 5. Aplicación Audit Workbench de Fortify

    Actividades 4
    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en el Software
    Nombre:

    Una vez arrancada la herramienta presenta esta pantalla con diversos lo diversos
    paneles de trabajo de la herramienta:

    Figura 6. Panales de trabajo de Fortify.

    En el panel de trazabilidad aparecen los hallazgos que ha detectado la herramienta


    al escanear el código clasificados como críticos, altos, medios y bajos. De estos
    hallazgos hay que auditar 15 indicando si es un falso positivo (el error no existe),
    explotable o positivo verdadero (el error existe pero y es alcanzable por el atacante
    desde una entrada del software) o mala práctica (el error existe pero no es
    alcanzable por el atacante desde una entrada del software).

    Para más información de como se utiliza la herramienta se asistir a la clase de


    explicación de la actividad y consultar los manuales originales de las herramientas
    disponibles en el escritorio virtual. También se puede ver algún video públicamente
    © Universidad Internacional de La Rioja (UNIR)
    disponible como:

    Se pueden acceder a videos sobre el funcionamiento de la herramienta SCA


    FORTIFY:

    Actividades 5
    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en el Software
    Nombre:

    https://www.youtube.com/watch?v=z9vnunUu6Ac
    https://www.youtube.com/watch?v=4hVReHXNyok
    https://www.youtube.com/watch?
    v=Fsi20Aa_Vlg&list=PLkBNdmbcM4MPs0XrGEptpuhVNWr1XFkJK

    Deberéis entregar una memoria en la que se explique la auditoría de 15 hallazgos


    de diferente categoría (criticas o altas), p. ej.: 1 del tipo XSS, 1 Buffer Overflow, etc.
    del código detectados por la herramienta (remarco solo 15 de categoría crítica o
    alta, pues la herramienta detecta más). Se debe incluir un estudio detallado de los
    mismos (incluir esquemas, gráficos de llamadas, flujos del programa, porciones de
    código explicadas, etc.) que explique la vulnerabilidad encontrada y se proponga
    una posible solución.

    Así mismo incluirá en la explicación de cada uno de los 15 errores la vulnerabilidad


    referenciada por su código CWE (Common Weakness Enumeration) acorde al
    mismo.

    En la memoria se debe incluir una tabla final que incluya los verdaderos positivos,
    falsos positivos y malas prácticas presentados por la herramienta, así como una
    conclusión acerca de su desempeño.

    © Universidad Internacional de La Rioja (UNIR)

    Actividades 6
    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en el Software
    Nombre:

    Extensión

    En vuestra solución a la actividad solo se deberán incluir las tablas que se piden
    rellenar a lo largo del enunciado de la actividad. La extensión máxima de la
    actividad será de 20 páginas.

    Rúbrica

    Puntuación
    Auditoría de código de Peso
    Descripción máxima
    una aplicación %
    (puntos)
    Resultado del análisis de cada una de
    Criterio 1 las 15 vulnerabilidades detectadas por 0,5 x 15 = 7,5 75 %
    la herramienta.
    Identificación correcta del código CWE
    Criterio 2 1,5 15 %
    de las vulnerabilidades encontradas.
    Criterio 3 Calidad de la memoria. 1 10 %
    10 100 %

    © Universidad Internacional de La Rioja (UNIR)

    Actividades 7

    También podría gustarte