Uso Rational AppScan de IBM

download Uso Rational AppScan de IBM

of 15

Transcript of Uso Rational AppScan de IBM

Uso Rational AppScan de IBM

0,0 Contenido de1.0 Qu es Rational AppScan? 2.0 Introduccin 3.0 Anlisis DVWA 4.0 Examinar los resultados 5.0 Generar un informe 6.0 Recursos

1.0 Qu es Rational AppScan?

IBM Rational AppScan ayuda a protegen contra la amenaza de los ataques y las violaciones de datos a los desarrollado software. Si utiliza aplicaciones Web para recopilar o intercambiar datos confidenciales o personales, su labor como un profesional de seguridad es ms difcil ahora que nunca antes.

AppScan es un ejemplo de un Fuzzer, que es un programa que realiza un software de caja negra prueba tcnica, consi en encontrar errores de ejecucin mediante inyeccin de datos con formato incorrecto/semidemanda-malformed en form automtica. Top | Contenido

2.0 Introduccin

En este tutorial, se asume que ya tiene AppScan 7,8 configurar y tener la licencia adecuada. Si utiliza este tutorial para clase (por ejemplo, CSC 591-003 para NCSU otoo 2009) consulte las instrucciones de laboratorio sobre cmo accede comenzar AppScan.

Tambin, este tutorial asume que ha instalado la Aplicacin de Web vulnerables Damn (DVWA) y configurado con un s web de Apache en el puerto 80.

Entre otras cosas, AppScan es capaz de supervisar las solicitudes realizadas sobre HTTP y luego replicar esas peticion AppScan utiliza esta capacidad para realizar la autenticacin con secuencias de comandos de acuerdo con una secuen inicio de sesin predefinidos que se especifique como verificador. Sin embargo, AppScan se establece en ignorar las pe HTTP localhost o 127.0.0.1. Como la copia de Apache se ejecuta en esta direccin, debe identificar la direccin I pblica de este equipo a "truco" AppScan creer el servidor que se est analizando es remoto. Puede obtener su IP externa de whatismyip.com.

Alternativamente, si utiliza VCL del NCSU, puede obtener la direccin IP desde la pgina de "Connect" en la pgina VC Reservas actuales . Puede encontrar la IP donde apunta la flecha en la figura siguiente.

Figura 2.1: Su direccin IP en la VCL conectar pantalla Otra alternativa es, cuando est conectado al equipo VCL, puede encontrar la direccin IP en la parte superior de la que contiene la conexin, como lo demuestra la flecha en la figura siguiente.

Figura 2.2: Su direccin IP en la barra de ttulo de conexin de escritorio remoto Por ltimo, para preparar con Rational AppScan,

1. Obtener su IP externa y almacenarlo en algn lugar donde lo puedes encontrar de nuevo.

2. Recuerde que no preciso Tomcat para este tutorial. 3. Haga doble clic en el icono Etiquetado como IBM Rational AppScan 7,8.Top | Contenido

3.0 DVWA anlisis deSiga estas instrucciones para configurar un anlisis tpico para DVWA:

1. Cuando AppScan abre por primera vez, un popup al sitio Web de AppScan aparecer como se mues continuacin. Puede cerrar esto.

Figura 3.1: Sitio Web de AppScan

2. Despus de cerrar la ventana emergente de Internet Explorer, se le presentar la siguiente pantalla. H en crear nuevo anlisis....

Figura 3.2: Pantalla de bienvenida

3. Aparecer la siguiente ventana. Haga clic en anlisis Regular.

Figura 3.3: Elegir el tipo de anlisis

4. A continuacin, se abrir el Asistente de configuracin. Haga clic en siguiente.

5. Aparecer la siguiente ventana. En el campo con la etiqueta de Inicio URL escriba lo siguiente: http://XXX.XXX.XXX.XXX/DVWA donde XXX.XXX.XXX.XXX es su direccin IP que obtuvo en la secc Asimismo, desactive tratar todos los trazados como entre maysculas y minsculas (Unix, Linux, et Cuando haya terminado, su pgina debe ser como la siguiente figura (su IP ser diferente). Haga clic siguiente.

Figura 3.4: Apuntando a la URL de inicio (su IP ser diferente!)

6. Aparecer la siguiente ventana. Seleccione ninguno y, a continuacin, haga clic en siguiente.

Figura 3.5: Elegir el mtodo de autenticacin

7. La siguiente ventana presenta opciones para una poltica de prueba como se muestra a continuacin. Seleccione El Vital algunos de los archivos de directivas y haga clic en siguiente.

Figura 3.6: Eleccin de una poltica de prueba

8. La siguiente ventana presenta opciones empezar. Seleccione iniciar un anlisis automtico como se

continuacin. Tambin asegrese de deseleccionar Iniciar anlisis experto cuando finalice el Asisten configuracin de anlisis. Haga clic en Finalizar.

Figura 3.7: Completar al Asistente para la configuracin de anlisis

9. Entonces, aparecer un cuadro de dilogo le pedir que guarde el anlisis que figura a continuacin. en S y guarde el archivo de anlisis en algn lugar donde lo puedes encontrar de nuevo. No importa llama.

Figura 3.8: Guardar el anlisis

10. En primer lugar, AppScan se rastrean DVWA automticamente, siguiendo los enlaces que encuentre bsqueda de parmetros de entrada como en la figura siguiente. Tendr que esperar unos cuatro m antes de que el primer resultado aparece, y todo el proceso de AppScan puede tardar

aproximadamente quince minutos, as que slo espera pacientemente.

Figura 3.9: Anlisis y rastreo

11. Despus de anlisis, rastreo y luego pruebas previas, AppScan comenzar pruebas DVWA para cues seguridad. Cuestiones aparecern como son descubiertos, pero es mejor esperar hasta que se comple anlisis antes de examinar las vulnerabilidades descubiertas. Pruebas ser similar a la siguiente figur

Figura 3.10: Primeros resultados

12. Despus de probar la aplicacin, AppScan iniciar al experto resultado y analizar los diversos mdu responder a las cuestiones que se encuentra como se muestra a continuacin.

Figura 3.11: Resultado expertos se ejecuta Top | Contenido

4.0 Resultados del examen deAhora que los resultados se han reunido completamente, se debe comenzar mirando a travs de ellos y decidir si so no. Comencemos por expandir el Nodo de Cross-Site Scripting, entonces el nodo para /dvwa/xss.php y haciendo dob el parmetro name . Despus de seleccionar un problema de seguridad especficas, las fichas en la parte inferior proporcionan informaci detallada. y Informacin de problemas: esta ficha le indica la direccin URL de ocurrencia, el riesgo representado por e vulnerabilidad y detalles que le ayudarn a determinar si el ataque fue un falso positivo o no.

Figura 4.1: Ficha de informacin de tema y Asesoramiento: esta ficha proporciona un vdeo flash que puede ayudarle a comprender la historia y la natu tipo de vulnerabilidad y tambin por qu escriba el ataque se produce.

Figura 4.2: Ficha Consultiva y Recomendacin Fix: esta ficha explica cmo fortalecer su aplicacin contra el tipo de ataque elegido

Figura 4.3: Ficha de recomendacin de correccin y Solicitud/respuesta: esta ficha te dice el par de solicitudes y respuestas HTTP exacto que AppScan se utiliz identificar el ataque. Esto inspeccionar cuidadosamente.

Figura 4.4: Ficha de solicitud/respuesta HTTP Proceder a travs de la lista de cuestiones de seguridad y examinar las siguientes cuestiones: y y y Es legtimo este ataque? Pudo ver un atacante realmente este ataque en el sistema de montaje? Qu activos amenazan este ataque? Evidentemente, para DVWA, no hay activos, pero qu activos podra el ataque en una aplicacin web comercial? Crees que la estrategia de mitigacin propuesta por AppScan (bajo Recomendacin de arreglar) sera xito

y

prevenir futuros ataques? Parece completa esta lista? Hay ms ataques que podran montarse?

Top | Contenido

5.0 Generar un informePara generar un informe 1. Haga clic en el botn informe ( ). Aparecer la siguiente ventana.

Figura 5.1: La ventana de informe

2. Haga clic en Estndar de la industria y elija OWASP Top 10 2007 como se muestra a continuacin.

Figura 5.2: La ficha de industria estndar 3. Haga clic en Guardar informe y guardar el informe en algn lugar que pueda recordar. 4. Despus de hacer, dice el cuadro de dilogo, haga clic en Cerrar. 5. Ahora abra el informe en el Visor del sistema PDF. Ahora, considere las siguientes preguntas... o o o Es este informe completo? Existen vulnerabilidades ms no en este informe? Que es til para este informe? Como desarrollador de software, qu hara usted al leer este informe? Como un tester?

o Top | Contenido

Cmo se este informe ocupa el estndar OWASP especficamente?

6.0 Referencias dey y y IBM Rational AppScan OWASP: Fuzzing Seguridad de aplicaciones Web de IBM

Top | Contenido Uso Rational AppScan de IBM 2009 Universidad del Estado de Carolina del Norte, Andy Meneely, Ben Smith y Laurie Williams Los autores de correo electrnico con preguntas o comentarios acerca de este tutorial. ltima actualizacin: Martes, 15 de septiembre de 2009 10:53 AM