SecurityQA Toolbar: Test de App Web

Publicado: julio 7, 2009 de komz en 13.Herramientas
Etiquetas:,

SecurityQA Toolbar es una herramienta que permite testear la seguridad en las aplicaciones web. Esta tool no ha sido diseñada como único medio para testear la seguridad de una aplicación web, pero puede ser utilizada durante la fase de QA por los equipos para determinar la seguridad de una aplicación web.

Testear una gran aplicación suele ser bastante complejo, esta toolbar permite ejecutar diferentes tests de seguridad contra una determinada página o una aplicación web completa. Aunque el testing por página suele ser un poco más lento produce mejores resultados, todos ellos en tiempo real.

Puntos negativos:

  1. a día de hoy sólo está disponible para Windows 2000/XP y sobre Explorer 6/7, aunque pronto estará disponible con Windows Vista y se podrán ejecutar los tests por línea de comandos
  2. alto coste de la herramienta, orientado a grandes organizaciones
  3. escasa documentación, aunque su uso es bastante intuitivo.

Permite a las organizaciones realizar un escaneo de forma automática seleccionando que técnicas de test quieren aplicar.

secqa2

Permite grabar sesiones, todos las acciones que se realicen sobre la aplicación, los clicks, GET y POST, links y acciones del usuario, quedarán grabadas. La sesión grabada puede abrirse con OWASP’s Webscarab para analizarla o modificarla.

seqa3

Genera una serie de informes en formato HTML que pueden ser exportados a MS Excel, además pueden ser comparados entre si para contrastar los resultados en las diferentes etapas del ciclo de vida.

Ataques Injection

Desde la pestaña Data Validation podemos realizar distintos test para detectar vulnerabilidades de inyecciones SQL, Blind SQL, LDAP, XPATH, XQUERY, XML, SSI y Comandos OS.

Para ver el progreso del test en tiempo real, antes de ejecutar el test debemos seleccionar el botón de expandir que nos irá mostrando los formularios vulnerables al tipo de inyección que hemos seleccionado.

seqxpath

Cross-Site Scripting

Desde la pestaña Session Management disponemos de distintos métodos para testar XSS en las aplicaciones web.

Programar buenas aplicaciones web es la mejor forma de prevenir código JavaScript malicioso, es importante filtrar los parámetros (inputs), pero a veces restringir estas entradas puede hacer que la aplicación no funcione de forma correcta. Incluye librerías para realizar las transformaciones entre ASCII a HEX o binario.

En el panel de Configuración seleccionaremos las opciones Security QA Toolbar Library y Transformation Character Set. Al ejecutar la opción para Cross-Site Scripting chequeara en busca de ataques XSS usando transformaciones hex y decimales en la petición.

Este tipo de test no está disponible en el producto de prueba.

Cookies

Podemos analizar si las cookies de un site tienen la seguridad apropiada.
Obtenemos el informe sobre el test realizado y recomendaciones para mejorar la seguridad.

infocook

infocook2

ISECPartners tiene otra tool llamada SecureCookies que analiza si una aplicación web está utilizando las opciones de seguridad en las cookies.

ActiveX

El proceso de testeo para los objetos ActiveX en aplicaciones web suele resultar bastante pesado y complejo. Esta tool nos asegura que los controles ActiveX en la aplicación web usan los estándares de seguridad apropiados.

Además existe otra tool en ISECPartners llamada SecureIE.ActiveX que te ayuda a determinar si tienes las opciones de seguridad correctamente activadas en el IE. Esta tool de forma automática mira en las opciones de seguridad del navegador y genera un informe con las buenas prácticas que debes seguir.

SecurityQA Toolbar es una de las tools que recomienda el libro de seguridad Hacking Exposed Web 2.0.

fuente: securitybydefault.com

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s