En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Auditar seguridad en el código de aplicaciones.

Con la herramienta RATS es posible auditar la seguridad del código de aplicaciones escritas en: C, C++, Perl, PHP y Python.

RATS analiza el código y al finalizar muestra una lista con los potenciales problemas de seguridad, una descripción del problema y una posible solución para fortificar la aplicación. También proporciona un gravamen relativo de la severidad potencial de cada problema, para ayudar al auditor de seguridad a priorizar los fallos de seguridad.

Uso:

Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]

Opciones explicadas:

- d especifica una base de datos de vulnerabilidades externa para cargar. Rats contiene una base de datos interna pero con este parámetro se pueden pasar otras bases de datos.

- h exhibe un breve resumen sobre el uso de rats.

- i muestra una lista de llamadas de función a las que se le pasaron archivos externos. Esta lista aparece al final de la lista de vulnerabilidades.

- l fuerza el lenguaje que se utilizará sin importar la extensión de nombre de fichero. Los nombres válidos del lenguaje son actualmente “c”, “Perl”, “PHP” y “pitón”.

- r aplica referencias a las llamadas de función vulnerables que no se están utilizando.

- w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.

- x no carga la bases de datos de vulnerabilidades que tiene por defecto.

Rats está disponible tanto para la plataforma Windows como Linux bajo licencia GNU. Es una herramienta muy útil para limpiar errores de código y fallos de seguridad, aunque debe usarse como complemento de una buena inspección manual.

Más información y descarga de Rats:
http://www.fortify.com/security-resources/rats.jsp
Auditar seguridad en el código de aplicaciones. Auditar seguridad en el código de aplicaciones. Reviewed by Álvaro Paz on viernes, abril 16, 2010 Rating: 5

4 comentarios:

Jose Vicente dijo...

No se si sere un poco torpe, o mis aplicaciones no tiene vulnerabilidades, o nose, les cuento, tengo instalado rats aqui en ubuntu, todo okey, le paso este parametro por ejemplo:

$ rats -w 3 -l PHP panelControl.php

entonces deberia analizar el archivo panelControl.php, con severidad 3 y lenguaje PHP, no??

El resultado que me saca es el siguiente:

Entries in perl database: 33
Entries in ruby database: 46
Entries in python database: 62
Entries in c database: 334
Entries in php database: 55
Analyzing panelControl.php
Total lines analyzed: 79
Total time 0.000204 seconds
387254 lines per second


Entonces, yo ahi no veo por ningun lado que me muestre informacion sobre bugs encontrados en el codigo ni nada...

A ver si alguien puede darme luz, un saludo y gracias! ;)

José Francisco dijo...

Es sin duda una herramienta bastante útil, tanto para auditores de seguridad, como para los propios desarrolladores del código.audea.com.

Alvaro Paz dijo...

Hola Jose Vicente.

Básicamente te está diciendo que en su base de datos tienes tiene 33 fallos de seguridad de perl, 46 de ruby…. En tu código no ha encontrado nada.
La prioridad 3 es la más baja, se refiere a fallos pequeños los más severos son 1. Cuando pases el lenguaje no pongas PHP en mayúsculas el parámetro es en minúsculas php.
Un saludo

Puzzle dijo...

Hola tio me gusta bastante tu blog.. nose si tienes algun entablon de favoritos y tal. pero me gustaria compartir banners contigo.. *.*
Pasate por mi blog y hechale un vistazo vale?¡
www.puzzlerules.blogspot.com

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.