12.2.2. Control del proceso interno


Control:

Se deberían incluir chequeos de validación en las aplicaciones para la detección de una posible corrupción en la información debida a errores de procesamiento o de acciones deliberadas.

(consultar también 10.1.1)
(consultar 12.2.1)
(consultar 10.10.1)

Posibles Soluciones a este control:

Adops Tools
Proporciona escaneo de ficheros flash y realiza un informe completo y exhaustivo sobre el contenido de la versión, dimensiones, tamaño, listado de getURL y de actionscripts, detectando agujeros de seguridad y presencia de malware. Adops Tools
FORTIFY SOFTWARE INC.
Rough Auditing Tool for Security (RATS) is an automated code review tool, provided originally by Secure Software Inc, who were acquired by Fortify Software Inc. It scans C, C++, Perl, PHP and Python source code and flags common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions. The tool performs a rough analysis of the source code. RATS
JUST ANOTHER HACKER
(Eldar "Wireghoul" Marcussen blog)
Graudit is a simple script and signature sets that allows you to find potential security flaws in source code using the GNU utility grep. It's comparable to other static analysis applications like RATS, SWAAT and flaw-finder while keeping the technical requirements to a minimum and being very flexible. Graudit supports scanning code written in several languages; asp, jsp, perl, php and python. GRAudit
MICROSOFT
Code Analysis Tool .NET is a binary code analysis tool that helps identify common variants of certain prevailing vulnerabilities that can give rise to common attack vectors such as Cross-Site Scripting (XSS), SQL Injection and XPath Injection. CAT .NET
PE Analysis Toolkit
PEV puede utilizarse por programadores, administradores o analistas de seguridad para el análisis de ficheros EXE/DLL de Windows, generar firmas de malwares, control de versiones ejecutables, estudio de PE, ingeniería inversa de códido, entre otros. Pev
OllyDbg
Debugger para análisis de código a nivel ensamblador, incluso cuando el código fuente no está disponible. OllyDbg
SuRGeoNix Conjunto de herramientas para pruebas de seguridad de aplicaciones web. Fue diseñado por auditores de seguridad como ayuda en la planificación de las aplicaciones web y su explotación. En la actualidad, se utiliza un Web Crawler eficiente, rápido y estable, Archivo / Dir forcer Bruto, Fuzzer para la explotación avanzada de vulnerabilidades conocidas y poco comunes, tales como inyecciones SQL, Cross Site Scripting (XSS), fuerza bruta en accesos, identificación de las reglas de filtrado en cortafuegos, ataques DOS y Web Proxy para analizar, interceptar y manipular el tráfico entre el navegador y la aplicación web de destino. WebSurgery
US HOMELAND SECURITY
The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious software vulnerabilities. CWE
WEBSECURIFY Herramienta para entornos de prueba de seguridad de las aplicaciones web diseñada para propociornar la mejores combinaciones de tecnologías de testeo de vulnerabilidades manuales y automáticas. WebSurgery


    Post a comment

    Your Name or E-mail ID (mandatory)




     RSS of this page

    Written by:   Version:   Edited By:   Modified

    Información de contacto

    http://www.iso27000.es/ISO27002/contacto.gif