06 julio 2009

SecurityQA Toolbar: Test de App Web

SecurityQA Toolbar es una herramienta que permite testear la seguridad en las aplicaciones web. Esta tool no ha sido diseñada como único medio para testear la seguridad de una aplicación web, pero puede ser utilizada durante la fase de QA por los equipos para determinar la seguridad de una aplicación web.

Testear una gran aplicación suele ser bastante complejo, esta toolbar permite ejecutar diferentes tests de seguridad contra una determinada página o una aplicación web completa. Aunque el testing por página suele ser un poco más lento produce mejores resultados, todos ellos en tiempo real.

Puntos negativos: 1) a día de hoy sólo está disponible para Windows 2000/XP y sobre Explorer 6/7, aunque pronto estará disponible con Windows Vista y se podrán ejecutar los tests por línea de comandos 2) alto coste de la herramienta, orientado a grandes organizaciones 3) escasa documentación, aunque su uso es bastante intuitivo.


Permite a las organizaciones realizar un escaneo de forma automática seleccionando que técnicas de test quieren aplicar.


Permite grabar sesiones, todos las acciones que se realicen sobre la aplicación, los clicks, GET y POST, links y acciones del usuario, quedarán grabadas. La sesión grabada puede abrirse con OWASP’s Webscarab para analizarla o modificarla.


Genera una serie de informes en formato HTML que pueden ser exportados a MS Excel, además pueden ser comparados entre si para contrastar los resultados en las diferentes etapas del ciclo de vida.

Ataques Injection

Desde la pestaña Data Validation podemos realizar distintos test para detectar vulnerabilidades de inyecciones SQL, Blind SQL, LDAP, XPATH, XQUERY, XML, SSI y Comandos OS.

Para ver el progreso del test en tiempo real, antes de ejecutar el test debemos seleccionar el botón de expandir que nos irá mostrando los formularios vulnerables al tipo de inyección que hemos seleccionado.


Cross-Site Scripting

Desde la pestaña Session Management disponemos de distintos métodos para testar XSS en las aplicaciones web.

Programar buenas aplicaciones web es la mejor forma de prevenir código JavaScript malicioso, es importante filtrar los parámetros (inputs), pero a veces restringir estas entradas puede hacer que la aplicación no funcione de forma correcta. Incluye librerías para realizar las transformaciones entre ASCII a HEX o binario.

En el panel de Configuración seleccionaremos las opciones Security QA Toolbar Library y Transformation Character Set. Al ejecutar la opción para Cross-Site Scripting chequeara en busca de ataques XSS usando transformaciones hex y decimales en la petición.

Este tipo de test no está disponible en el producto de prueba.

Cookies

Podemos analizar si las cookies de un site tienen la seguridad apropiada.


Obtenemos el informe sobre el test realizado y recomendaciones para mejorar la seguridad.



ISECPartners tiene otra tool llamada SecureCookies que analiza si una aplicación web está utilizando las opciones de seguridad en las cookies.

ActiveX

El proceso de testeo para los objetos ActiveX en aplicaciones web suele resultar bastante pesado y complejo. Esta tool nos asegura que los controles ActiveX en la aplicación web usan los estándares de seguridad apropiados.

Además existe otra tool en ISECPartners llamada SecureIE.ActiveX que te ayuda a determinar si tienes las opciones de seguridad correctamente activadas en el IE. Esta tool de forma automática mira en las opciones de seguridad del navegador y genera un informe con las buenas prácticas que debes seguir.

SecurityQA Toolbar es una de las tools que recomienda el libro de seguridad Hacking Exposed Web 2.0.

4 comments :

deltonos77 dijo...

Buenas:

Que alguien me corrija si me equivoco, pero para ser de pago( y según dices no muy barata) se puede hacer lo mismo y más tirando de otras alternativas Opensource. Y según veo la herramienta está todavía demasiado verde, que limitaciones tiene siendo un trial?

Un saludo

Laura García dijo...

@deltonos77: Pongo un check (+) en las opciones disponibles:

DataValidation
--------------
SQL Injection +
Blind SQL Injection
LDAP Injection +
XPATH Injection +
XQUERY Injection +
XML Injection
SSI Injection +
OS Commanding

Session Management
------------------
Cross-Site Scripting
Secure Cookies +
Cross-Site Reference Forgery
Response Splitting


WebServer Controls
------------------
SSL Testing +
HTTP Methods
Directory Traversal
Forced Browsing +

Code Handling
-------------
ActiveX Testing
Format Strings +


Cuando vi el libro de McGraw Hill me llamó la atención que el 90% de los tests los haga con esta tool, supongo que habrán $$$ En lugar de usar también herramientas Opensource, como Paros o Burp que tienen funcionalidades similares, como bien comentas.

Supongo que los que crearon esta toolbar la orientaron a grandes corporaciones. Mi percepción es que las grandes corporaciones parece que si les das a elegir entre dos productos uno caro con licencia y otro Opensource, siempre tiran a por el caro... idea que no comparto

deltonos77 dijo...

@Laura : eso fué lo que me enseñaron, y como decia Yago, entre una caja de zapatos con la palabra Firewall pintada vendiendola por 4mil euros, y un Linux con un iptables, las empresas tiran a por lo bonito y costoso.

Muchas gracias por el check.

Saludos.

Anónimo dijo...

Umm, iba a hacer un pequeño comentario, pero me he quedado pillado entre mi procastinación y el efecto mariposa.
Hablando de corporaciones, el debate puede ser más amplio.

Enlace sin comisiones, altamente interesante.
http://www.cbaplay.com/video/2920531/The-Corporation---La-Corporacion-(espa%C3%B1ol---spanish)-FULL

Saludos
¿Quién vigila a los vigilantes?