Tiene preguntas sobre el análisis de seguridad recibido

Navega tus respuestas
2

Recibí una exploración de seguridad de Fortify en una aplicación web (usando SSL / HTTPS) escrita en Angular en la que estoy trabajando y tengo dos preguntas (problemas de alto riesgo) en las que estoy buscando ayuda.

  1. Control de acceso: archivo no protegido - GET /fonts/fontawesome-webfont.ttf?4.3.0. ¿Así que la aplicación web usa iconos impresionantes y supongo que el problema es que los archivos webfont sean accesibles? Primero me gustaría aclarar que mi entendimiento es correcto. Entonces, ¿hay algo que pueda hacer? Si cambio los permisos, puedo detener el acceso al archivo, ¡pero los iconos no se muestran! ¿Es realmente un alto riesgo de seguridad que los archivos webfont no estén protegidos?
  2. Gestión de contraseñas: envío inseguro: GET /templates/some_file.html?user=12345&pwd=12345. La aplicación web en un punto determinado abrirá un modo que solicita un nombre de usuario y una contraseña. 'usuario' y 'pwd' son del campo de nombre y no sé si simplemente eliminar los campos de nombre de las entradas solucionaría este problema? La otra cosa que ya he hecho es tomar todos los archivos html que no son index.html y compilarlos (usando grunt) en un archivo javascript, por lo que ahora no puedes acceder a /templates/some_file.html y no lo hago. ¿No sabes si eso resuelve este problema también?

Finalmente, veo números de CWE que no tengo claro si corresponden a los números de CVE que he visto mencionados en los sitios. Cuando recibo un informe como este, ¿hay un sitio al que pueda acceder que explique estos problemas en detalle para que pueda conocerlos?

Saludos cordiales, Julie

    
pregunta JulieMarie 23.09.2015 - 20:03
fuente

1 respuesta

4

Primero, por más fuerte que Fortify es para el análisis estático, aún no entiende su aplicación o modelo de implementación, por lo que a veces tiene que hacer conjeturas. Y ante la duda, Fortify dice que algo es un problema. Así que tendrás muchos falsos positivos que simplemente necesitas ignorar. Puede hacer esto configurando el campo Análisis en No es un problema en Audit Workbench o el SSC. Fortify llevará esto a futuras exploraciones para que nunca más tenga que prestar atención a este problema.

  • Archivo no protegido : es difícil estar seguro sin ver el código pero, según su descripción, parece que esto no es un problema. Fortify es correcto, estos archivos no están protegidos, pero se supone que deben ser así. Así que márcalo No es un problema y sigue adelante.
  • Gestión de contraseñas: envío inseguro : el problema aquí es el uso de GET en lugar de POST para realizar la solicitud de inicio de sesión. Los parámetros GET se pasan como parte de la URL después de un carácter ? . Las URL tienen la desagradable tendencia de registrarse en registros y demás. Por lo tanto, pasar una contraseña, o cualquier otro dato confidencial, a través de una solicitud GET se considera una exposición a la privacidad. Debes cambiar la solicitud a un POST en el cliente y / o el servidor, según el marco de tu aplicación web.

Las CWE son entradas en la Enumeración de debilidad común . Son una lista de errores comunes de programación y despliegue que conducen a fallas de seguridad. Fortify los muestra para ayudarlo a comprender el problema que encontró. Por ejemplo, el problema del archivo no protegido puede aparecer como CWE-306: Falta la autenticación para la función crítica . Puedes simplemente buscarlos en google para encontrar los específicos. Si aún no ha leído el CWE-25 , es probable que valga la pena su tiempo para hacerlo. Esos problemas tienden a aparecer con frecuencia en la seguridad de las aplicaciones.

    
respondido por el Neil Smithline 23.09.2015 - 20:17
fuente

Lea otras preguntas en las etiquetas

xss cuando se agrega http en la carga útil Selfie como forma de autenticación para transacciones con tarjeta de crédito