jueves, 17 de septiembre de 2015

Rational Appscan, una herramienta para hacer pruebas de seguridad

IBM Rational Appscan es una herramienta de escaneo automática que analiza las vulnerabilidades de las aplicaciones web, encontrando fallas de seguridad y generando un reporte de acciones sobre ellas.

Rational Appscan sigue el siguiente flujo de trabajo: 

image

Configuración: Se tendrán que construir la plataforma, el objetivo de las prueba a realizar, el número de páginas involucradas, etc.

Explorar: Se pretende ir buscando todos los enlaces disponibles en el sitio para poder construir una estructura jerárquica.

Se envían peticiones y, en función de las respuestas, identifica los lugares donde hay margen para la vulnerabilidad. 

Prueba: En esta etapa, Rational Appscan ataca el sitio para encontrar las debilidades, buscando principalmente los agujeros de seguridad y clasificando la severidad del riesgo.

Se podrán encontrar en el ciclo de prueba nuevos enlaces en la aplicación, por lo cual Rational Appscan comenzará una nueva etapa de exploración. Esto se repetirá hasta que no se encuentren más conexiones.

El número de análisis lo podrá asignar el usuario en la configuración.

Reporte: Cuando concluyan las pruebas, se podrá generar un informe con todos los resultados, el cual incluirá las medidas para poder corregir los problemas.

Estos informes se pueden personalizar para satisfacer sus necesidades.

Las principales características y ventajas de esta herramienta son:

  • Identifica las vulnerabilidades de las aplicaciones y sitios Web.
  • Ofrece pruebas de seguridad como un complemento a las pruebas tradicionales de funcionalidad y rendimiento.
  • Provee recomendaciones para la eliminación de fallas de seguridad.
  • Genera reportes personalizados de acuerdo a las necesidades del proyecto.
  • Hacer pruebas de seguridad de aplicaciones antes de liberarlas.
  • Permite analizar múltiples aplicaciones.
  • Las pruebas pueden programarse para ejecutarse en horas no productivas
  • Los reportes proporcionan un mejor entendimiento del estado de seguridad.
  • Permite visualizar el progreso de la remediación de vulnerabilidades a lo largo del tiempo.
  • Está alineado con estándares internacionales como OWASP.

Rational Appscan nos ayudará a realizar pruebas de seguridad identificando las vulnerabilidades de nuestra aplicación y sugiriendo recomendaciones de reparación de forma tal que se garanticen ciertos niveles de seguridad de la aplicación que está saliendo a producción.


Autora:

Lic. María Eugenia Spadaro

Analista QA