Control:
Se deberían incluir chequeos de validación en las aplicaciones para la detección de una posible corrupción en la información debida a errores de procesamiento o de acciones deliberadas.
(consultar también 10.1.1)
(consultar 12.2.1)
(consultar 10.10.1)
Posibles Soluciones a este control:
FORTIFY SOFTWARE INC.
|
Rough Auditing Tool for Security (RATS) is an automated code review tool, provided originally by Secure Software Inc, who were acquired by Fortify Software Inc. It scans C, C++, Perl, PHP and Python source code and flags common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions. The tool performs a rough analysis of the source code. |
RATS |
JUST ANOTHER HACKER
(Eldar "Wireghoul" Marcussen blog)
|
Graudit is a simple script and signature sets that allows you to find potential security flaws in source code using the GNU utility grep. It's comparable to other static analysis applications like RATS, SWAAT and flaw-finder while keeping the technical requirements to a minimum and being very flexible. Graudit supports scanning code written in several languages; asp, jsp, perl, php and python. |
GRAudit |
MICROSOFT
|
Code Analysis Tool .NET is a binary code analysis tool that helps identify common variants of certain prevailing vulnerabilities that can give rise to common attack vectors such as Cross-Site Scripting (XSS), SQL Injection and XPath Injection. |
CAT .NET |
OllyDbg
|
Debugger para análisis de código a nivel ensamblador, incluso cuando el código fuente no está disponible. |
OllyDbg |
| SuRGeoNix |
Conjunto de herramientas para pruebas de seguridad de aplicaciones web. Fue diseñado por auditores de seguridad como ayuda en la planificación de las aplicaciones web y su explotación. En la actualidad, se utiliza un Web Crawler eficiente, rápido y estable, Archivo / Dir forcer Bruto, Fuzzer para la explotación avanzada de vulnerabilidades conocidas y poco comunes, tales como inyecciones SQL, Cross Site Scripting (XSS), fuerza bruta en accesos, identificación de las reglas de filtrado en cortafuegos, ataques DOS y Web Proxy para analizar, interceptar y manipular el tráfico entre el navegador y la aplicación web de destino. |
WebSurgery |
US HOMELAND SECURITY
|
The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious
software vulnerabilities. |
CWE |
| WEBSECURIFY |
Herramienta para entornos de prueba de seguridad de las aplicaciones web diseñada para propociornar la mejores combinaciones de tecnologías de testeo de vulnerabilidades manuales y automáticas. |
WebSurgery |
Uploading ....