Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
• Introdução • Gerencial
• Desenvolvimento • Relatórios
• AppSec • Políticas
• Veracode • Mitigação
• Gartner & Competitors • Falhas
• Por que testar aplicações? • Roles
• Usuários
• Overview
• Plataforma Veracode • Serviços
• Help center • Suporte
• Manual Penetration Test (MPT)
• Produtos • VAST
• SAST • Dev Coaching
• Plataforma
• IDE • Licenciamento
• SDLC • Overview
• Greenlight
• Recomendações de uso
• DAST
• Ambiente demo
• Plataforma
• API
• VSA
Violações evidenciadas na
camada de aplicação
• T-Mobile
• JPMC Challenge
• Office of Personnel
Management (OPM)
• Ashley Madison
• Target
• US Army
• Sony
Customer Records
Applications
Intellectual
Property
Money
Brand
Reputation
Employee
Records
Explorar uma vulnerabilidade, pode ser tão fácil quanto fazer login...
Usuário: fulano
Senha: 12345
Usuário: ‘ OR 1=1; /*
Senha: */--
select * from accounts where name = ‘’ OR 1=1; /*’ and password = ‘*/--’;
Explorar uma vulnerabilidade, pode ser tão fácil quanto fazer login...
Camada da aplicação
Knowledge Mgmt
Communication
Bus. Functions
Administration
Legacy Systems
Human Resrcs
Transactions
E-Commerce
Web Services
Directories
Accounts
Databases
Finance
Billing
APPLICATION
ATTACK
Custom Code
SQL
query
App Server M
Web Server
Camada de rede
Hardened OS
Firewall
Firewall
100,000,000
Vulnerable
10,000,000 Download
26%
1,000,000
Safe
Download
100,000 74%
10,000
1,000 Libraries 31
100
Library Versions 1,261
Organizations 61,807
10
Downloads 113,939,358
1
Tapestry
Spring Security
Wicket
Lift
Apache CXF
GWT
BouncyCastle
Apache Shiro
Apache Xerces
Struts2
Tiles
Struts 1.x
AntiSamy
Apache Axis
Hibernate
Apache Santuario
https://www.aspectsecurity.com/news/press/the-unfortunate-reality-of-insecure-libraries
$
$
$
$
Application Lifecycle
Rank Name
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross Site Request Forgery (CSRF)
A9 Using Known Vulnerable Components
A10 Unvalidated Redirects and Forwards
Elimine Links Fracos de Software Explore vulnerabilidades, emulando Descubra e avalie rapidamente o
Comercial de Terceiros técnicas de cyber ataques risco de todas as aplicações Web
externas
Bug Tracking
Browser Based
IDE Based
API &
CI/CD Based command line
Integrando e automatizando
• A Veracode oferece diversas formas de integração dos
testes de segurança, ao fluxo de desenvolvimento, bem
como o acesso aos testes através de outras aplicações
• O programa de APIs da Veracode permitem a
automatização das ações envolvendo os testes de
aplicações, enquanto os plugins permitem que você
extenda as análises da Veracode ao seu fluxo de
desenvolvimento
• Esta é apenas outra forma de realizar o scan SAST (falaremos
da integração com o SDL/SDLC em outro módulo)
Greenlight
• O Plugin Veracode Greenlight identifica as falhas de
segurança em poucos segundos, assim você pode corrigi-las
diretamente na IDE
• O Greenlight faz o scan em arquivos (classes) ou em
pequenos pacotes, e informa rapidamente o resultado
• Adicionalmente, o Greenlight fornece retorno positivo aos
desenvolvedores, informando melhores práticas de
desenvolvimento para evitar problemas de segurança
Greenlight
Revisando os resultados
• Utilizando o Greenlight
• Envio do scan
• Acesso aos resultados
Teste de conhecimento: 5
S A S T – I n te gr ado ao S D L/ S D LC
Developer Sandbox
Developer Remediation Coaching
Developer Training Static Analysis & Software Composition Analysis
SIEMs
WAFs
No
Request Need Application
Analysis Review Report Expertise Remediate Compliance
?
Yes
No Remediation
Coaching
Scan Met Rescan
Policy
Application ?
Application
Yes
plugins
nt Teams
No
Need Application
Request Review Report Expertise Remediate Compliance
Analysis ?
Yes
No Remediation
Coaching
Scan Met Rescan
Policy
Application ? Application
Yes
Import Policy
Scan
3 5 Veracode
Sandbox Cloud-
Greenlight
Based
Scan Scan
Platform
1 2 4 7
Mid to late
Develop Early Dev Build
Dev
Automated Check In
Veracode Plugin
Veracode Level
O Veracode Level (VL) obtido por uma aplicação é determinado pelo tipo de teste
que a Veracode executa na aplicação, gravidade e os tipos de falhas detectados.
Um score de segurança mínimo (definido abaixo) é necessário para cada nível.
Static Flaws
A Triagem de Falhas estáticas permite aos desenvolvedores revisar as falhas
estáticas no contexto de sua cópia local do código-fonte para o aplicativo
DynamicDS Flaws
A página de Triagem Falhas dinâmicas apresenta as falhas do DynamicDS,
de forma diferente das falhas estáticas
Dynamic Anlysis
components
1 customer
Static Analysis
•
• Scans JAVA and .NET
• Unlimited assessments
found in software
application INT-AST-WAS
• Single assessment
INT-AST-Static • Difined as a single URL
• Single 1 customer static (scheme, host and port)
assessment
• No remediation assessments
• Up to 50 MB App
INT-APP-MICRO
• 1 customer
• Unlimited assessments
• Application microservice
Description
Veracode is a U.S.-based, well-established and rapidly
growing provider of SAST and DAST cloud services,
software supply chain testing and mobile AST. For
SAST, Veracode has been a pioneer in the analysis of
binary code, not requiring the source code for
testing. Its 2012 acquisition of Marvin security
accelerated its mobile AST capabilities where it was also
an early innovator. In 2014, Veracode added
integrated software composition analysis
capabilities into its AST services for the identification
of vulnerable open source components.
Veracode's AST services will meet the requirements
of organizations looking for a broad set of AST services
— SAST, DAST and mobile AST — that want to
delegate their AST and SCA to a third-party expert with a
strong reputation for the quality of its services and
demonstrated innovation in application security.
Ticketing integration HPE Quality Center Jira ClearQuest, HPQC,TFS Jira, Bugzilla
Scanner runtime model Production safe Manually configured Manually configured by Production safe OR
HPE multithreaded
Live scan status Yes Yes No Yes
5. There are holes in the Fortify On Demand offering that can serve as anti-Fortify
landmines—if you set the trap properly
1. FP rate
2. Poor dynamic support
3. Poor remediation coaching
4. Turnaround time
125
P ar c e i r o s & M3 C o r p
• Venda do licenciamento
• Serviço de code review
• Implantação / consultoria de segurança no SDL/SDLC
• Treinamento para desenvolvedores
• Readout para remediação
• "Cópia" do serviços da Veracode