¿Alguna vez has probado tu aplicación de APEX para revisar sus vulnerabilidades de seguridad? Ó tan pronto terminas la aplicación, la publicas en el ambiente de producción?

 

Bueno, en este artículo veremos como evaluar nuestras aplicaciones APEX desde el punto de seguridad. Para esto, vamos a utilizar la herramienta APEX-SERT (Security Evaluation and Recommendation Tool for Oracle Application Express) antes conocida como eSERT y que ahora podemos utilizar completamente gratis.

 

¿Qué es APEX-SERT?

Es una aplicación APEX open source diseñada por Scott Spendolini para evaluar nuestras aplicaciones APEX en busca de vulnerabilidades de seguridad.

¿Cómo funciona?

Se instala en la instancia de APEX una vez e instantáneamente queda disponible para cualquier desarrollador utilizando sus credenciales de APEX existentes.

Versiones Soportadas:  APEX 4.2 y  APEX 5.0

 

Requerimientos:

- Una instancia de Oracle APEX.

- Acceso con la cuenta SYS de la base de datos.

- Acceso a la administración de APEX.

- Crear un tablespace (opcional).

 

Ahora si, vamos con los pasos para instalar APEX-SERT:

1.  Descargar la última versión: https://github.com/OraOpenSource/apex-sert/releases. En la guía se hará con la versión APEX-SERT 5.0 Beta 2.

2.  Descomprimir el archivo e ir a la carpeta de releases. Descomprima este archivo y tendrá una nueva carpeta llamada sert con estos directorios y archivos.

Los scripts ins.sql (instalación) y unins.sql (desinstalación) son los que vamos a necesitar.

 

3.  Una vez hecho esto, vamos a crear el tablespace para los objetos de APEX-SERT.  A continuación el ejemplo para crearlo:

4.  Desde el editor de comandos, localizar el directorio sert que habíamos descomprimido. Nos conectamos a la base de datos como sysdba y ejecutamos el script ins.sql. Las capturas de pantalla a continuación se hicieron en Windows, pero los pasos son los mismos en cualquier sistema operativo:

 

Al final de la instalación, vamos a tener dos esquemas:

SV_SERT_050000 -  Contiene todos los objetos APEX-SERT y metada.

SV_SERT_APEX - se utilizará como "Parse as schema" para las aplicaciones.

 

5. El script pedirá confirmación y va a probar el ambiente.

6. A continuación, el script nos solicitará la contraseña para el esquema y para el usuario administrador.

7. En los siguientes pasos, el script va a pedir algunos detalles, como "Parse as schema", asignación de identificación automática y, finalmente los pasos posteriores a la instalación.

8. Para que podamos utilizar APEX-SERT necesitamos hacer unos últimos pasos:

Vamos a ingresar al workspace INTERNAL y editamos el mensaje del sistema:

Copiamos el mensaje:

Finalmente tenemos el link para ejecutar APEX-SERT:

Seleccionamos el workspace y aplicación que queremos evaluar. Después del procesamiento, tendremos un informe de las vulnerabilidades que tiene la aplicación seleccionada.

 

Desintalar APEX-SERT:

Desde el editor de comandos, localizamos el directorio sert que habíamos descomprimido inicialmente, nos conectamos con el usuario SYS y ejecutamos el script unins.sql

 

NOTA: Si están usando la base de datos XE, deben comentar las siguientes lineas para poder ejecutar el script de instalación:

En la segunda parte, evaluaremos una aplicación y revisaremos sus vulnerabilidades.