sábado, 21 de diciembre de 2002

Un banco online en casa, con errores de programación

Se presenta WebMaven, un proyecto de código abierto, pensado para ayudar
en la formación y validación de los sistemas de verificación de la
seguridad de las aplicaciones web.

Se presenta WebMaven, un proyecto de código abierto, pensado para ayudar
en la formación y validación de los sistemas de verificación de la
seguridad de las aplicaciones web.

En el desarrollo de aplicaciones web siempre debe existir una fase en la
que se realice una serie de verificaciones para comprobar que no se ha
introducido ningún agujero en la seguridad.

Por lo general, este tipo de pruebas son desarrolladas por empresas de
consultoría o los propios departamentos de seguridad informática. Si
bien existen diversas metodologías para la realización de las pruebas,
siempre queda la duda de estas son capaces de descubrir todos los
errores. Es aquí donde entra WebMaven: ofrecer un entorno de pruebas
que nos permita verificar la calidad de la verificación de la seguridad.

WebMaven v1.01 es una aplicación web interactiva que simula algunos de
los problemas de seguridad más habituales a nivel de aplicación. Esto
lo convierte en un entorno ideal para la revisión de las pruebas de
verificación de la seguridad, así como para comprobar si las técnicas
de valoración se realizan adecuadamente.

La versión actual de WebMaven incluye una aplicación de banca por
Internet, aunque está previsto que en futuras versiones se incluyan
otras aplicaciones de ejemplo.

La arquitectura de WebMaven es relativamente simple: un script escrito
PERL que se ejecuta en un servidor web. Los usuarios interactúan contra
la aplicación web de la misma forma en que lo hacen contra cualquier
otra aplicación web. Por tanto, se pueden utilizar las mismas
herramientas de verificación de la seguridad que se emplean para
comprobar la seguridad de las aplicaciones web.

En la aplicación de ejemplo, Buggy Bank, existe la posibilidad de
establecer sesiones autenticadas de usuario, obtener el estado de las
cuentas corrientes y realizar transferencias. Deliberadamente el sistema
tiene un total de diez vulnerabilidades simuladas, que deberemos ser
capaces de identificar.


Xavier Caballé
xavi@hispasec.com