Auditar seguridad en el código de aplicaciones.

Con la herramienta RATS es posible auditar la seguridad del código de aplicaciones escritas en: C, C++, Perl, PHP y Python.

RATS analiza el código y al finalizar muestra una lista con los potenciales problemas de seguridad, una descripción del problema y una posible solución para fortificar la aplicación. También proporciona un gravamen relativo de la severidad potencial de cada problema, para ayudar al auditor de seguridad a priorizar los fallos de seguridad.

Uso:

Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]

Opciones explicadas:

– d especifica una base de datos de vulnerabilidades externa para cargar. Rats contiene una base de datos interna pero con este parámetro se pueden pasar otras bases de datos.

– h exhibe un breve resumen sobre el uso de rats.

– i muestra una lista de llamadas de función a las que se le pasaron archivos externos. Esta lista aparece al final de la lista de vulnerabilidades.

– l fuerza el lenguaje que se utilizará sin importar la extensión de nombre de fichero. Los nombres válidos del lenguaje son actualmente “c”, “Perl”, “PHP” y “pitón”.

– r aplica referencias a las llamadas de función vulnerables que no se están utilizando.

– w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.

– x no carga la bases de datos de vulnerabilidades que tiene por defecto.

Rats está disponible tanto para la plataforma Windows como Linux bajo licencia GNU. Es una herramienta muy útil para limpiar errores de código y fallos de seguridad, aunque debe usarse como complemento de una buena inspección manual.

Más información y descarga de Rats:
http://www.fortify.com/security-resources/rats.jsp

4 comentarios en “Auditar seguridad en el código de aplicaciones.

  • el abril 17, 2010 a las 11:58 am
    Permalink

    No se si sere un poco torpe, o mis aplicaciones no tiene vulnerabilidades, o nose, les cuento, tengo instalado rats aqui en ubuntu, todo okey, le paso este parametro por ejemplo:

    $ rats -w 3 -l PHP panelControl.php

    entonces deberia analizar el archivo panelControl.php, con severidad 3 y lenguaje PHP, no??

    El resultado que me saca es el siguiente:

    Entries in perl database: 33
    Entries in ruby database: 46
    Entries in python database: 62
    Entries in c database: 334
    Entries in php database: 55
    Analyzing panelControl.php
    Total lines analyzed: 79
    Total time 0.000204 seconds
    387254 lines per second

    Entonces, yo ahi no veo por ningun lado que me muestre informacion sobre bugs encontrados en el codigo ni nada…

    A ver si alguien puede darme luz, un saludo y gracias! 😉

    Respuesta
  • el abril 19, 2010 a las 7:39 am
    Permalink

    Es sin duda una herramienta bastante útil, tanto para auditores de seguridad, como para los propios desarrolladores del código.audea.com.

    Respuesta
  • el abril 19, 2010 a las 8:16 pm
    Permalink

    Hola Jose Vicente.

    Básicamente te está diciendo que en su base de datos tienes tiene 33 fallos de seguridad de perl, 46 de ruby…. En tu código no ha encontrado nada.
    La prioridad 3 es la más baja, se refiere a fallos pequeños los más severos son 1. Cuando pases el lenguaje no pongas PHP en mayúsculas el parámetro es en minúsculas php.
    Un saludo

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: