Uno de los controles que la metodología OWASP contempla es el análisis de archivos web Adobe Flash (.swf). que en numerosas ocasiones presentan vulnerabilidades explotables o información sensible vital para que la revisión sea completa.Para analizar la seguridad de estos archivos compilados, primero se utilizan herramientas de decompilación, como por ejemplo SWF Decompiler (comercial) o Flare (gratuita), que muestran los objetos y código (en ActionScript) y posteriormente se analiza en busca de vulnerabilidades. Al igual que se haría para un applet en Java o un ActiveX.
No existen muchas aplicaciones que ayuden a esta revisión de código, como erlswf, y permita semi-automatizarla, como ocurre para otros lenguajes. Por este motivo HP, que tras la compra de SpiDynamics en 2007 ha demostrando su interés por la seguridad web, ha liberado SWFScan, una herramienta que facilita esta labor. Su formato es similar a Scrawl, otra pequeña utilidad de HP para la detección de SQL Injections.
En las pruebas que hemos realizado ha funcionado de una forma más que aceptable, ya que además de los análisis de seguridad de código fuente, realiza la decompilación previa.
Entre sus características principales está la posibilidad de seleccionar entre más de 60 pruebas a realizar, comprobar las buenas prácticas de Adobe y decompilar ActionScript en su versión 2 y 3.
Otras características contemplan:
La siguiente captura muestra un análisis sobre un archivo que almacena en el propio código fuente los usuarios y contraseñas (risas).
La configuración de las distintas pruebas que permite analizar:
Más información:
http://www.adobe.com/devnet/flashplayer/articles/swfscan.html
http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2009/03/20/exposing-flash-application-vulnerabilities-with-swfscan.aspx
En las pruebas que hemos realizado ha funcionado de una forma más que aceptable, ya que además de los análisis de seguridad de código fuente, realiza la decompilación previa.
Entre sus características principales está la posibilidad de seleccionar entre más de 60 pruebas a realizar, comprobar las buenas prácticas de Adobe y decompilar ActionScript en su versión 2 y 3.
Otras características contemplan:
- Señalización del código vulnerable
- Reporte de vulnerabilidades con explicación y recomendación
- Generación de un informe en HTML (un poco pobre, todo sea dicho de paso)
- Exportación del código fuente
- Identificación de todas las URLs
- Señalización de funciones que puedan ser críticas, como crypt() o loadedUserXml
La siguiente captura muestra un análisis sobre un archivo que almacena en el propio código fuente los usuarios y contraseñas (risas).
La configuración de las distintas pruebas que permite analizar:
Más información:
http://www.adobe.com/devnet/flashplayer/articles/swfscan.html
http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2009/03/20/exposing-flash-application-vulnerabilities-with-swfscan.aspx
Saludos
Dr.White
No hay comentarios:
Publicar un comentario