En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Auditar seguridad en el código de aplicaciones.

Con la herramienta RATS es posible auditar la seguridad del código de aplicaciones escritas en: C, C++, Perl, PHP y Python.

RATS analiza el código y al finalizar muestra una lista con los potenciales problemas de seguridad, una descripción del problema y una posible solución para fortificar la aplicación. También proporciona un gravamen relativo de la severidad potencial de cada problema, para ayudar al auditor de seguridad a priorizar los fallos de seguridad.

Uso:

Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]

Opciones explicadas:

- d especifica una base de datos de vulnerabilidades externa para cargar. Rats contiene una base de datos interna pero con este parámetro se pueden pasar otras bases de datos.

- h exhibe un breve resumen sobre el uso de rats.

- i muestra una lista de llamadas de función a las que se le pasaron archivos externos. Esta lista aparece al final de la lista de vulnerabilidades.

- l fuerza el lenguaje que se utilizará sin importar la extensión de nombre de fichero. Los nombres válidos del lenguaje son actualmente “c”, “Perl”, “PHP” y “pitón”.

- r aplica referencias a las llamadas de función vulnerables que no se están utilizando.

- w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.

- x no carga la bases de datos de vulnerabilidades que tiene por defecto.

Rats está disponible tanto para la plataforma Windows como Linux bajo licencia GNU. Es una herramienta muy útil para limpiar errores de código y fallos de seguridad, aunque debe usarse como complemento de una buena inspección manual.

Más información y descarga de Rats:
http://www.fortify.com/security-resources/rats.jsp
Auditar seguridad en el código de aplicaciones. Auditar seguridad en el código de aplicaciones. Reviewed by Álvaro Paz on viernes, abril 16, 2010 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.