Skip navigation

Seguimos con la segunda parte para evaluar la seguridad de nuestras aplicaciones. Para este caso, voy a usar la aplicación empaquetada "Opportunity Tracker".

En el home del workspace encontramos el link para ejecutar APEX-SERT:

 

Damos clic y se abrirá una nueva ventana con la aplicación.

Las aplicaciones que nos muestra en la lista de valores son las aplicaciones que existen en el workspace donde ejecutamos APEX-SERT.

Ahora, seleccionamos la aplicación que queremos evaluar:

 

Al terminar la evaluación, encontramos las vulnerabilidades por cantidad, clasificación, impacto y severidad:

Ahora miremos en detalle una de las vulnerabilidades, damos clic sobre uno de ellos (en este caso, revisaremos Form Autocomplete) y podemos ver todas las páginas donde esta sucediendo la vulnerabilidad en cuestión.

Aquí podemos hacer tres cosas:

1. Ir a editar la página donde se presenta la vulnerabilidad.

2. Crear una excepción a la vulnerabilidad.

3. Crear un comentario sobre la vulnerabilidad detectada.

 

Vamos con la primera, editar la página. La vulnerabilidad que estamos evaluando es Form AutoComplete, así que vamos a la región de seguridad y ponemos en off  esta opción:

Así podríamos hacer con las demás páginas que tienen activo el auto completar. Cuando volvamos a evaluar la aplicación, estas vulnerabilidades habrán cambiado de estado. Con solo este cambio ya hemos mejorado la seguridad de la aplicación en un 10% aproximadamente.

 

La segunda opción es crear la excepción, después de creada un usuario con permisos de aprobación podrá aprobar o desaprobar la excepción. En caso de que sea aprobada, esta vulnerabilidad no afectara el puntaje de seguridad de la aplicación.

Para administrar los roles y permisos sobre los workspaces, ir a la aplicación: http://<ip>:<puerto>/ords/f?p=SERT_ADMIN

 

Finalmente, la última opción es crear anotaciones o comentarios sobre las vulnerabilidades detectadas. Pueden ser útiles para mantener trazabilidad o algún comentario útil para todo el equipo de desarrollo.

 

Para más información de APEX-SERT: https://github.com/OraOpenSource/apex-sert