Cmo utilizar Audit Workbench

El mtodo ms sencillo para el anlisis de una aplicacin Java es indicar a Audit

Workbench el directorio de base donde est el cdigo fuente de la aplicacin. Con esta
informacin, Fortify SCA identifica automticamente todos los tipos de cdigo fuente
como Java, Java Server Pages (JSP), PL / SQL y TSQL y archivos de configuracin XML
en los archivos de los directorios especificados. Tambin identifica y utiliza los archivos
.jar que encuentra para resolver nombres de smbolos definidos en el cdigo fuente.

La aplicacin Fortify SCA est disponible en el aula virtual, en formato .iso sobre
sistema operativo windows para lo que necesitara un software de virtualizacin poen
source, como VMWARE Player o VIRTUAL BOX.

Seguidamente en el software de virtualizacin elegido se debe crear una mquina

virtual que arranque desde la imagen .iso bajada del aula virtual.

Una vez arrancada la mquina virtual:

En Windows desde el men INICIO, navegar: Programas HP Fortify SCA and

Application Audit Workbench.

Se mostrar la siguiente figura, selecciona Scan Java Project.

Figura 1. Ventana de Inicio

Seleccionar el siguiente proyecto a abrir:

 C:\HP Fortify\HP_Fortify_SCA_and_Apps_3.x\Samples\advanced\wegoat
Seleccionar la versin de Java 1.5.

Figura 2. Seleccin de versin de Java.

Seleccionar los chequeos conforme a lo mostrado en la siguiente pantalla:

Figura 3. Ventana de Opciones

La figura siguiente presenta la organizacin del interfaz de la herramienta:

Figura 4. Interfaz de la herramienta. Extrada de HP Fortify Audit Workbench

User Guide
 La siguiente figura presenta los resultados obtenidos del escaneo del cdigo fuente
de la aplicacin.

Figura 5. Issues Panel

Recopilar informacin de alto nivel acerca de los temas presentados en el

Issues Panel:

Listas de hallazgos o vulnerabilidades, criticas, altas, medias y bajas (folfer taps)

con el nmero de incidencias detectadas en cada nivel de prioridad. Al hacer clic en
una de la lista, muestra los problemas asociados a la prioridad en el rbol del
Navegador. Seleccione crticas y observe que entre los elementos de la lista, tenemos
los siguientes conjuntos de problemas:

o Command Injection.
o Dangerous File Inclusion.
o Password Management Hardcode Password
o Pacth Manipulation
o Privacy Violation
o Race condition
o SQL Injection
o XPath Injection
 La forma de los elementos en el rbol de navegacin del Issues Panel es controlado
por el men Pull-Dwon Group By (figura 5). Los productos se pueden agrupar por
categoras (por defecto), SANS Top 25, OWASP Top 10, etc. Selecciona fuente de
agrupar por Source en el men desplegable y observa que la mayora de los
problemas son causados por entradas del usuario devueltas por
ServletRequest.getParameter (), como era de esperar en una aplicacin Web.

Utiliza el campo bsqueda del Issues Panel para realizar una y ver los hallazgos o
problemas que coinciden con la bsqueda. Al hacer clic en el icono Advanced, se
pueden realizar bsquedas en cualquier campo como por ejemplo identificador de
instancia, comentarios, o mediante el uso de un lenguaje de consulta avanzada.
Introduce la cadena de consulta SqlInjection en el campo de bsqueda y pulsa la
tecla Intro. Pulsa X situada junto al campo de bsqueda para borrar la bsqueda y
mostrar todos los temas de nuevo.

Haz click en la categora de inyeccin SQL para que se expanda, selecciona uno de
los hallazgos de la lista en rbol del Issues Panel y hacer click en alguno de ellos, se
muestra el archivo de origen y el nmero de lnea donde se produce el problema en
el Secure Code Viewing Panel.

Selecciona la carpeta inyeccin SQL BackDoors.Java:106 (liena). Observa cmo los

paneles Analysis Trace y Summary muestran el problema o hallazgo. Observa que en
el Secure Codev Viewing Panel se muestra el cdigo fuente, con los argumentos
de datos contaminados y la funcin afectada en azul. La capacidad de navegar
fcilmente a travs de los distintos nodos del cdigo fuente facilita su comprensin.

Haz clic en el tema seleccionado con el botn derecho, aparece un men, puedes
desplazar el problema a otras listas, suprimir el problema, o generar
automticamente un informe de error.

Revisa el camino seguido desde la fuente hasta el hallazgo usando el Uso

del panel de Analysis Trace Panel.
Cada nodo o punto del Analysis Trace Panel corresponde a un paso o nodo de la
traza del hallazgo o problema seleccionado. Para cada problema se tiene un flujo de
datos en los que cada nodo corresponde a una llamada a una funcin, asignacin o
datos retornados por cualquier declaracin involucrada en el camino entre la fuente
y el hallazgo. Se tratan como eventos a lo largo de una lnea de tiempo, comienza en
la parte superior Analysis Trace Panel y progresa hasta el ltimo nodo, que
es donde se produce el problema.

Selecciona el primer nodo de la traza del problema seleccionada. El cdigo fuente

correspondiente se muestra en el Secure Code Viewing Panel, con la funcin de
entrada del usuario que eventualmente provoca el problema seleccionado.

Selecciona cada uno de los nodos entre la fuente (primer nodo) y el ltimo nodo.
Comprueba que ninguna de las expresiones a travs de la cual el flujo del Analysis
Trace Panel realiza ninguna validacin de la entrada contaminada que disminuya
el riesgo de inyeccin de SQL. Los iconos de la tabla siguiente aparecen en cada ruta
o nodo de flujo de datos para indicar el tipo de expresin del mismo.
 Figura 6. Tabla Iconos Analysis Trace Panel. Extrada de HP Fortify Audit
Workbench User Guide
Revisin mediante el Auditing Issues Panel

El Auditing Issues Panel tiene el propsito de proporcionar informacin

adicional sobre el problema seleccionado en el Issues Panel, permite al usuario
realizar anotaciones y comentarios y asignar un estado de auditora.
Observa que la categora del hallazgo est en la lista de vulnerabilidades en negrita a
la derecha del panel, junto con la familia vulnerabilidad a la que pertenece y el
analizador especfico que se ha detectado. El campo de ubicacin muestra la
relativePath de la raz del proyecto del archivo en el que se descubri el problema.

Figura 7. Auditing Issues Panel. Extrada de HP Fortify Audit Workbench User

Guide

Selecciona el panel Detail para ver una descripcin ms detallada del problema,
incluye una explicacin del mismo, ejemplos, recomendaciones sobre la manera de
resolver el problema, consejos tiles sobre temas de auditora similares y referencias
a otras lecturas sobre el tema.

Selecciona el panel Summary, contiene una descripcin breve del problema y los
motivos por los que es vulnerable. En el lado derecho del panel hay varios mens
desplegables y dos botones. Los mens desplegables son para registrar los
resultados de una auditora clasificando el problema como:
o No is an Issue.
o Reliability Issue.
o Bag Practice.
o Suspicius.
o Exploitable.
Si despus de la auditora se determina que el problema no existe y el cdigo es en
realidad seguro, se podra suprimir haciendo clic en Suprimir X.