Tema 5-6 Codificación Segura de Aplicaciones

Análisis estático de código de una aplicación

Enunciado

Estimados alumnos, como para el tema 5 y 6, os propongo profundizar en la práctica de

seguridad más importante a implantar en un S-SDLC: ”Análisis Estático de Código”.
Para ello vais a analizar de quince (15) códigos fuente en lenguaje C con el objetivo de
buscar los errores de programación relativos a seguridad (vistos en los temas 5 y 6).

Los códigos y un tutorial de la herramienta de ayuda para la realización de análisis

estático están disponibles en el siguiente enlace en un archivo comprimido:

http://descargas.unir.net/escueladeingenieria/05 Seguridad_del_Software/LaboratorioISW.rar

Deberéis entregar una memoria en la que se explique la auditoría de los 15 códigos, en

la que se incluya un estudio detallado de los mismos (incluir esquemas. gráficos de
llamadas, flujos del programa, porciones de código explicadas, etc.) que explique la
vulnerabilidad encontrada y se proponga una posible solución.

Así mismo se valorará la inclusión, en la explicación de cada uno de los 15 errores, la

vulnerabilidad referenciada por su código CWE acorde al mismo.

Como ayuda para su realización os propongo el uso de la herramienta de análisis

estático de código:

 Visual Code Greeper

Estas herramientas son una ayuda en el análisis del código fuente, pero puede
presentar falsos positivos y negativos y por tanto no reemplaza al auditor. Tenerlo en
cuenta a la hora de realizar el análisis de los códigos. Cada código sólo presenta un
error. Los ficheros con de cabecera, extensión .h, no tienen errores.

En la memoria se debe incluir una lista de los falsos positivos y negativos presentados
por la herramienta, así como una conclusión acerca de su desempeño.

Visual Code Greeper

Descargarse la herramienta Cppcheck para sistemas operativos Windows, disponible en

el siguiente enlace:
Tema 5-6 Codificación Segura de Aplicaciones

https://sourceforge.net/projects/visualcodegrepp/

Una vez descargado el archivo que instala herramienta se da sobre el un doble click y
aparece la pantalla.

Figura 1. Pantalla inicial de instalación de la Herramienta

A partir de aquí se da a todas las pantallas en la pestaña siguiente y se instala de forma

sencilla la herramienta.

 Se procede a iniciarlo y cargar en primer lugar la carpeta donde tememos los 15

códigos a analizar.
Tema 5-6 Codificación Segura de Aplicaciones

Figura 2. Selección de carpeta de códigos a escanear.

 Seleccionar el lenguaje C/C++ y comenzar el análisis.

Figura 3. Selección de lenguaje de programación.

 Configurar la siguiente opción:

Tema 5-6 Codificación Segura de Aplicaciones

Figura 4. Configuración opción

 Configurar el siguiente tipo de vista:

Tema 5-6 Codificación Segura de Aplicaciones

Figura 5. Configuración tipo de vista.

 Para finalizar le decimos a la herramienta que realice un Escaneo completo para

arrojar la mayor cantidad de información
Tema 5-6 Codificación Segura de Aplicaciones

Figura 6. Realización de un escaneo completo

 Una vez terminado el análisis la herramienta muestra toda la información del

resultado en texto plano. Se pueden agrupar por nivel de criticidad, por
similitud del problema etc.,

Figura 7. Pantalla de resultados.

Esta herramienta no permite navegar por el código, se recomienda para analizar el

hallazgo utilizar el programa Notepad++.