Revisio de seguridad de codigo
Enviado por Moises Rodriguez • 9 de Mayo de 2019 • Documentos de Investigación • 728 Palabras (3 Páginas) • 73 Visitas
1.-Estas actividades que están más enfocadas que simplemente revisar el código. 2.-Estos análisis pueden ayudarlo a simular cómo se ejecutará el código y determinar la probabilidad de una vulnerabilidad existente. 3.-Las herramientas de análisis estático son buenas para encontrar cosas comunes y conocidas. 4.-También pueden proporcionar una falsa sensación de seguridad. Si ejecuta el análisis y no encuentra muchos errores, puede determinar incorrectamente que su código es seguro, cuando en realidad la herramienta simplemente no encontró errores. 5.- Aunque las herramientas están mejorando, todavía no pueden reemplazar una buena búsqueda manual.
[pic 1]
1.- El objetivo aquí es enumerar todas las fuentes de entrada. 2.- Por ejemplo, si utiliza la entrada en la interfaz de usuario, ¿dónde descansa la entrada en la base de datos y cuál es su salida?[pic 2]
1.- Los niveles de confianza se utilizan para mejorar la eficacia del análisis de flujo de datos.[pic 3]
[pic 4]
1.- Al realizar el análisis de flujo de datos, es importante comprender los tipos de problemas más comunes y los patrones que debe buscar.
[pic 5]
1.- Uint (0 to 4,294,967,295) 2.- Para identificar errores de validación de entrada causados por desbordamientos numéricos, debe buscar un cálculo que haga que un valor de datos sea mayor o menor que el valor permitido por su tipo de datos. Tales cálculos hacen que el valor se ajuste y se haga mucho más grande o más pequeño de lo esperado. 2.- Este código lanzará una excepción IndexOutOfRange no controlada.[pic 6]
1.- Para identificar errores de validación de entrada que pueden dar como resultado la inyección de SQL, debe buscar la entrada del usuario que pueda afectar la lógica de una consulta SQL. Si se explota adecuadamente, un usuario malintencionado puede usar la inyección de SQL para acceder o modificar los datos en su base de datos de SQL. 2.- Si tiene una consulta SQL, como “select * from users where user_id=” alguna variable, y no se realiza una validación de entrada en la variable, un usuario malintencionado puede modificar fácilmente el significado de la consulta SQL. 3.- Por ejemplo, podría formatear la unidad C en su servidor de base de datos, no es un resultado deseable.[pic 7]
1.- Canonicalización es una peculiar palabra, que significa escoger la mejor URL para mostrar nuestro sitio Web. 2.- pues primero de todo asegurarnos que todos los enlaces que apuntan al Home de nuestra web lo hagan al mismo sitio. 3.- Un error causado por los errores de canonicalización hará que obtenga un recurso distinto al que esperaba. [pic 8]
1.-Estos problemas ocurren porque la familia printf usa los indicadores de cadena de formato como "%", que se pueden usar para modificar los valores de búsqueda en la memoria. 2.-Un usuario malintencionado podría atravesar una pila, modificar la memoria y escribir datos en una ubicación en la pila que dañaría los datos o otorgaría más privilegios al usuario malintencionado en su aplicación.[pic 9]
...