25 marzo 2009

Análisis de Adobe Flash

Uno de los controles que la metodología OWASP contempla es el análisis de archivos web Adobe Flash (.swf). que en numerosas ocasiones presentan vulnerabilidades explotables o información sensible vital para que la revisión sea completa.

Para analizar la seguridad de estos archivos compilados, primero se utilizan herramientas de decompilación, como por ejemplo SWF Decompiler (comercial) o Flare (gratuita), que muestran los objetos y código (en ActionScript) y posteriormente se analiza en busca de vulnerabilidades. Al igual que se haría para un applet en Java o un ActiveX.

No existen muchas aplicaciones que ayuden a esta revisión de código, como erlswf, y permita semi-automatizarla, como ocurre para otros lenguajes. Por este motivo HP, que tras la compra de SpiDynamics en 2007 ha demostrando su interés por la seguridad web, ha liberado SWFScan, una herramienta que facilita esta labor. Su formato es similar a Scrawl, otra pequeña utilidad de HP para la detección de SQL Injections.

En las pruebas que hemos realizado ha funcionado de una forma más que aceptable, ya que además de los análisis de seguridad de código fuente, realiza la decompilación previa.

Entre sus características principales está la posibilidad de seleccionar entre más de 60 pruebas a realizar, comprobar las buenas prácticas de Adobe y decompilar ActionScript en su versión 2 y 3.

Otras características contemplan:
  • Señalización del código vulnerable
  • Reporte de vulnerabilidades con explicación y recomendación
  • Generación de un informe en HTML (un poco pobre, todo sea dicho de paso)
  • Exportación del código fuente
  • Identificación de todas las URLs
  • Señalización de funciones que puedan ser críticas, como crypt() o loadedUserXml
Este software nos hace pensar que es posible que el motor de la herramienta o una versión mejorada se incluya en su aplicación de análisis web WebInspect y esta, está muy lejos de ser gratuita.

La siguiente captura muestra un análisis sobre un archivo que almacena en el propio código fuente los usuarios y contraseñas (risas).


La configuración de las distintas pruebas que permite analizar:


Más información:
http://www.adobe.com/devnet/flashplayer/articles/swfscan.html
http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2009/03/20/exposing-flash-application-vulnerabilities-with-swfscan.aspx

6 comments :

jävi dijo...

Entonces, si no lo he entendido mal, este software además de exponer posibles fallos de seguridad... permite decompilar cómodamente archivos flash swf no ?

Un saludo!

Alejandro Ramos dijo...

@jävi, esa es la idea. Por un lado decompila y te muestra el resultado, permitiendote también buscar tu a mano las vulnerabilidades y por otro, comprueba de forma automática una serie de pruebas.

Un saludo ;)

jävi dijo...

Uhm, tomo nota, siempre me llamó la atención el tema de decompilar y la "ingeniería inversa".

Gracias Alejandro por la aclaración!

jävi dijo...

Se me olvidaba, enhorabuena por el blog! Os tengo entre mis feeds hace tiempo ;)

Anónimo dijo...

Muy buena recopilación aprovechando la salida de la tool de HP, os dejo otra OpenSource que aunque aún no he probado promete:

http://deblaze-tool.appspot.com/

Un saludo

--
m313
http://meleagro.es.kz

Minsqui dijo...

Busque lo que busque, siempre acabo en sbd! Hacéis un trabajo increíble!
Gracias :)