[Owasp-greece] Java Security

Zed Qyves zqyves.spamtrap at gmail.com
Tue May 8 05:21:00 EDT 2007


Καλημερα,

Αν κ ίσως αργά έχω τα ακόλουθα σχόλια.

>Αναρωτιέμαι αν αυτό είναι καλή ιδέα, μια και χρησιμοποιόντας έναν
Java Decompiler μπορεί
>κανείς να κατεβάσει τα .JAR και να τσεκάρει το source code απ
ευθείας. Η εμπειρία μου σε
>source code reviews από άποψη ασφαλείας είναι ανύπαρκτη, κι έτσι
προφανώς δε βρήκα >κάτι τρανταχτό στο χρόνο που μου δόθηκε για να κάνω
τον έλεγχο. Φαντάζομαι όμως ότι όσοι
>απο σας είστε προγραμματιστές θα είχατε σκίσει τη συγκεκριμένη
εφαρμογή σε λίγα >nanoseconds.

δεν μπορείς να το χαρακτηρίσεις καλή η κακή ιδεα καθώς η αρχιτεκτονική
της JAVA είναι τέτοια που δεν σου δινει άλλη δυνατότητα.

Όσον αφορά τα source cede reviews υπάρχουν πλέον προγραμματάκια που
σου επιτρέπουν να βγάλεις τα low hanging fruit από την μέση (SQL/XSS
Injection) όπως είναι το LAPSE. Τώρα για Authorisation &
Authentication εκεί είναι άλλο θέμα. Προσωπική μου άποψη είναι ότι δεν
χρειάζεται να είσαι τρομερός προγραμματιστής ή guru τουλάχιστον στην
JAVA για να κάνεις source code review απλά γνώσεις κ μια μεθοδολογία
(θα σου πρότεινα τα αρχικά κεφάλαια στο The Art of Software Security
Assessment για να πάρεις μια ιδεα). Αναφέρομαι στην JAVA γιατί εκεί
δεν έχεις pointers και direct memory manipulation calls τα οποία
χρειάζονται βαθιά γνώση.

> Τι ποσοστό της εφαρμογής είναι άραγε ορατό σε μία τέτοια περίπτωση? Έιχα τη >δυνατότητα να κατεβάσω και να κάνω decompile σε αρχεία .class που είχαν να κάνουν με >το πως γίνεται το authentication και το logging. Υπάρχουν κομμάτια σχετικά με τις >συγκεκριμένες λειτουργίες που δεν είναι όρατα / προσπελάσιμα στο front end της >εφαρμογής?

όλη η εφαρμογή που σου παρέχεται μεσα στο jar. αν μιλάμε για
client-based εφαρμογή τότε όλο το client exposed functionality.

>-	Υπάρχει τρόπος να εμποδίσεις το χρήστη / penetration tester από το
να κατεβάσει (και να κάνει decompile) συγκεκριμένα αρχεία?

Όχι πέρα από την χρησιμοποίηση bytecode obfuscator. Αυτό δεν σε
εμποδίζει να την κανεις decompile αλλά να διαβασεις τον decompiled
κωδικα, να τον αλλάξεις και να τον κάνεις recompile δημιουργώνταςέτσι
τον δικό σου client.

Όσον αφορα κάποιες πρότάσεις για bytecode encryptor/decryptor που
κυκλοφορύν στο Internet σαν options θα παραθέσω το ακόλουθο link αν κ
λίγο dated:

http://www.javaworld.com/javaworld/javaqa/2003-05/01-qa-0509-jcrypt.html

Τέλος ένα cool link/tool με την προυπόθεση ότι έχεις χρόνο να
ασχοληθείς είναι το:
Java Object Inspector
http://www.csnc.ch/estatic/download/download_tools.html

Zach

-- 
---------------------------------------------------------------------
Κρέων
ἐν τῇδ᾽ ἔφασκε γῇ· τὸ δὲ ζητούμενον
ἁλωτόν, ἐκφεύγειν δὲ τἀμελούμενον.
Οιδίπους Τύρρανος [110]
---------------------------------------------------------------------
Creon
In this our land, so said he, those who seek  Shall find; unsought, we
lose it utterly.
Oedipus Rex [110]
---------------------------------------------------------------------


More information about the Owasp-greece mailing list