Herramientas Para Análisis Estático De Seguridad - owasp
11.05.2014 Views
Share Embed Flag

Herramientas Para Análisis Estático De Seguridad - owasp

Herramientas Para Análisis Estático De Seguridad - owasp

Herramientas Para Análisis Estático De Seguridad - owasp

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
owasp.org

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

If( fgets(buf, sizeof(buf), stdin) == buf) {<br />

strcpy(cmd, buf);<br />

system(cmd);<br />

}<br />

Ejemplo: Propagación de entradas<br />

1) Fuente: fgets<br />

2) DFA conecta fuente fgets con buf<br />

3) Se propaga a cmd<br />

4) DFA propaga cmd a la llamada a system<br />

5) Sumidero alcanzado: system<br />

Se lanza problema: “inyección de comando”<br />

• El objetivo es determinar si una entrada controlada por el<br />

usuario alcanza un recurso sin verificar<br />

• Inyección SQL, de comandos, cross-site scripting<br />

• Además de fuentes y sumideros, hay que considerar<br />

reglas de propagación (3) y reglas de filtrado o limpieza<br />

• El grado en que una entrada puede estar controlada por<br />

el atacante debe manejarse durante el análisis<br />

III OWASP Spain Chapter Meeting<br />

17

logo

productos

Resources

Compañías

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!