wap2En el proceso de desarrollo de un aplicativo web, es necesario contar con ciertos procedimientos antes de subir esa web  a producción. Uno de esos pasos es una revisión de seguridad para testear que en la fase de desarrollo no se haya cometido ningún fallo.

Es por eso que nacen proyectos como Web Application Protection, que se encargará de testear la seguridad de los aplicativos web en PHP.

WAP, es capaz de detectar el siguiente conjunto de vulnerabilidades:

  • SQL injection using MySQL, PostgreSQL and DB2 DBMS
  • Reflected cross-site scripting (XSS)
  • Stored XSS
  • Remote file inclusion
  • Local file inclusion
  • Directory traversal
  • Source code disclosure
  • OS command injection
  • PHP code injection

Además de la particularidad de poder detectar el conjunto de fallos, aplicará una corrección del código fuente.

Lo primero que haremos será descargar la herramienta:

wap

Una vez que hemos descargado la herramienta lo que tendremos que hacer es escoger aquel proyecto que queramos analizar.

Para la prueba escogeremos el proyecto de DVWA, bajamos el proyecto y lanzamos el análisis:

wap3

Lo que hará la herramienta es analizar el proyecto en PHP y buscar por una vulnerabilidad en concreto, yo le he indicado que busque vulnerabilidades del tipo SQL Injection.

Una vez que la herramienta a analizado el código podremos ver los resultados:

wap4

Podemos ver que la herramienta a analizado el proyecto que le hemos pasado y, además ha podido sacar la SQL Injection y ha podido subsanarla.

Como os decía, la herramienta es capaz de aplicar la corrección para evitar la inyección detectada.

wap5

Aquí tenemos el código que subsanaría el fallo de la aplicación.

Otra de las cosas que es capaz de detectar la aplicación son falsos positivos:

wap6

Sin duda, además de pasar los tests oportunos como pasar un QA, tienen que haber tests específicos para pasar los checks de seguridad.

En este caso, WAP, no cubre todos los aspectos, pero por lo menos es una capa de seguridad que podemos automatizar antes de subir la aplicación a producción.

[+]http://sourceforge.net/projects/awap