Análisis de Adobe Flash
Uno de los controles que la metodología OWASP contempla es el análisis de archivos web Adobe Flash (.swf). que en numerosas ocasiones presentan vulnerabilidades explotables o información sensible vital para que la revisión sea completa.
Para analizar la seguridad de estos archivos compilados, primero se utilizan herramientas de decompilación, como por ejemplo SWF Decompiler (comercial) o Flare (gratuita), que muestran los objetos y código (en ActionScript) y posteriormente se analiza en busca de vulnerabilidades. Al igual que se haría para un applet en Java o un ActiveX.
No existen muchas aplicaciones que ayuden a esta revisión de código, como erlswf, y permita semi-automatizarla, como ocurre para otros lenguajes. Por este motivo HP, que tras la compra de SpiDynamics en 2007 ha demostrando su interés por la seguridad web, ha liberado SWFScan, una herramienta que facilita esta labor. Su formato es similar a Scrawl, otra pequeña utilidad de HP para la detección de SQL Injections.
En las pruebas que hemos realizado ha funcionado de una forma más que aceptable, ya que además de los análisis de seguridad de código fuente, realiza la decompilación previa.
Entre sus características principales está la posibilidad de seleccionar entre más de 60 pruebas a realizar, comprobar las buenas prácticas de Adobe y decompilar ActionScript en su versión 2 y 3.
Contenido completo en Security by Default
Para analizar la seguridad de estos archivos compilados, primero se utilizan herramientas de decompilación, como por ejemplo SWF Decompiler (comercial) o Flare (gratuita), que muestran los objetos y código (en ActionScript) y posteriormente se analiza en busca de vulnerabilidades. Al igual que se haría para un applet en Java o un ActiveX.
No existen muchas aplicaciones que ayuden a esta revisión de código, como erlswf, y permita semi-automatizarla, como ocurre para otros lenguajes. Por este motivo HP, que tras la compra de SpiDynamics en 2007 ha demostrando su interés por la seguridad web, ha liberado SWFScan, una herramienta que facilita esta labor. Su formato es similar a Scrawl, otra pequeña utilidad de HP para la detección de SQL Injections.
En las pruebas que hemos realizado ha funcionado de una forma más que aceptable, ya que además de los análisis de seguridad de código fuente, realiza la decompilación previa.
Entre sus características principales está la posibilidad de seleccionar entre más de 60 pruebas a realizar, comprobar las buenas prácticas de Adobe y decompilar ActionScript en su versión 2 y 3.
Contenido completo en Security by Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!