Ciberseguridad en tiempos de Coronavirus (Parte 3)

mayo 24, 2020 1 comentario

Recomendaciones para todos, Zoom y el acceso a redes empresariales.

En los post anteriores vimos Ciberataques en el mundo luego Ciberataques en Perú  para cerrar este tópico aquí veremos una serie de recomendaciones que todos deberíamos considerar hasta recomendaciones mas especificas para entornos empresariales.

 

1.- Recomendaciones de uso General

  • Hacer respaldos de información
  • Use una contraseña segura.
  • Use contraseñas diferentes para email personal, email corporativos,
    redes sociales, etc.
  • Bloquee manualmente la pantalla o configurar la pantalla.
  • del dispositivo para que se bloquee automáticamente al alejarse o al dejar de usarlo.
  • Instalar las últimas actualizaciones de software y aplicaciones todos los dispositivos, Celulares, Tablets, PC, Laptop.
  • Uso de software antivirus / anti malware comercial y licenciado.
  • Verificar correos electrónicos, SMS o mensajes de redes sociales, si son de contactos conocidos.
  • No hacer clic en direcciones de internet sin estar 100% seguro.
  • No abrir archivos adjuntos si no esta 100% de su origen.

Aquí un estudio reciente donde se muestra las contraseñas mas comunes encontradas durante análisis de vulnerabilidades a nivel global :

cibercatas en peruFuente : Raconteur: https://www.linkedin.com/posts/edgescan_raconteur-cybersecurity-report-activity-6648188015975899136-on2J/

 

2.- Recomendaciones para Zoom.
Como todos sabemos las plataformas de vídeo conferencia se han intensificados y Zoom se ha vuelto una de las principales, como si bien es cierto a la fecha de este post Zoom ha publicado una nueva versión con muchas mejoras de seguridad ademas de comprar una empresa de ciberseguridad para mejorar el cifrado de las comunicaciones los ciberdelincuentes siguen encontrando problemas de seguridad.

Basado en ello, aquí algunas recomendaciones para “mejorar” la seguridad en las conferencias.

  • Agregar una contraseña de reunión.
  • Establecer el uso compartido de pantalla en “solo host”.
  • Deshabilitar transferencia de archivos.
  • Deshabilitar “unirse antes del host”.
  • Deshabilite “Permitir que los participantes eliminados vuelvan a unirse” Habilitar la sala de espera.
  • No hacer clic en enlaces sospechosos o aceptar archivos en la sala de chat.

 

3.- Habilitar autenticación multifactor (2FA)
Adicionar un mecanismo para autentificar el acceso es altamente recomendable, teniendo en cuenta que tarde o temprano la contraseña termina siendo guarda en un archivo de texto ( algo que sabes) y puede ser robada fácilmente, contar con una contraseña dinámica (algo que tienes) es decir que cambia cada momento o es enviado por sms es sumantante importante.

Algunos servicios donde se puede activar :

  • Correo electrónico personal, los printicales servicios de email como gmail, outlook, hotmail lo soportan.
  • Correo electrónico corporativo ( si esto lo soporta).
  • Redes Sociales : Facebook por ejemplo.
  • Conexiones VPN (Acceso remoto a la red corporativa).
  • Inicio de sesión en computadoras corporativas.

Aquí un ejemplo de como activarlo para Facebook :

Fuente : https://www.facebook.com/notes/facebook-security/two-factor-authentication-for-facebook-now-easier-to-set-up/10155341377090766/?comment_id=10156264397591886

 

4.- Acceso a redes empresariales

Debido al teletrabajo ha hecho que muchas empresas textualmente “corran” para implementar soluciones que permitan a sus empleados trabajar desde casa, sin embargo se estan perdiendo de vista ciertas cosas que exponemos a continuación.

4.1.- Acceso cifrado a la red empresarial
sea cual sea la solución para ingresar a la red empresarial, esta debe ser cifrada, como por ejemplo el uso de “servicio de escritorio remoto” o RDP en su configuración por defecto hace uso de cifrado, así mismo cuenta con vulnerabilidades como BlueKeep.

4.2.- Permitir el acceso solo a dispositivos de trabajo
Hoy todos están conectados desde casa, pero se esta viendo que el mismo computador/Laptop que venia siendo usado para el hogar, también esta siendo usado para conectarse a la red empresarial, por tanto si ese computador se encuentra comprometido de algun tipo de virus, también esta comprometiendo la red empresaria.

4.3.- Uso de software VPN sin vulnerabilidades.
Ningún software en ningun sistema operativo se “salva” de tener vulnerabilidaes, es importante que a la hora de implementar los servidores VPN el software a usar siempre sea la ultima version y este libre de vulnerabilidades, al menos en ese momento. Por ejemplo este es el reporte de vulnerabilidades OPENVPN a la fecha, el cual es uno de los software mas usados para implementar este tipo de acceso.

4.4.- Uso de protocolos seguros en VPN
Muchas implementaciones de Servidor VPN no tienen en cuenta que de nada sirve los accesos remotos sin hacer uso de un protocolo que brinde el correcto cifrado en la comunicación, es asi que hacer uso de  PPTP sobre SSL o L2TP/IPsec SSTP y IKEv2/IPsec. solo por citar algunos es muy importante.

4.5.- De ser posible uso de 2FA.
Adicionar un mecanismo para autentificar el acceso es altamente recomendable, teniendo en cuenta que una contraseña normalmente se copia fisicamente en algún lado ( algo que sabes) contar con una contraseña dinámica es decir que cambia cada momento o es enviado por sms (algo que tienes) es importante.

A continuación una lista de soluciones basadas en software libre enfocadas a controles de seguridad.

Fuente : http://www.eventid.net/docs/open_source_security_controls.asp

 

5.- Evaluación de aplicaciones Web y visibilidad en la red empresarial

  • Análisis de vulnerabilidades de Aplicaciones web y móviles.
  • Revisión de visibilidad del perímetro de la red, ejemplo servicios expuestos.
  • Actualización de software en servicios.
  • Tratar de no usar servicios que no cifren la comunicación, ejemplo Telnet, FTP, RDP por defecto.

Un estudio de la empresa Edgescan revela las vulnerabilidades mas comunes en evaluaciones sin credenciales sobre sistemas expuestos por internet.

Fuente : https://cdn2.hubspot.net/hubfs/4118561/BCC030%20Vulnerability%20Stats%20Report%20(2020)_WEB.pdf

 

43% en vulnerabilidades en criptografia, implementaciones de servidor, clientes y APIs/Endpoints en el uso de algoritmos debiles.

20% en Aplicaciones Web, vulnerabilidades que comprometen la seguridad en Aplicaciones web, como XSS, CSRF, SQLI,etc.

15% Relacionado a falta de parches de seguridad, en diversas implementaciones como Apache, Cisco, Citrix, Vmware,etc.

 

Espero les sirva.
@jroliva

Ciberseguridad en tiempos de Coronavirus (Parte 2)

mayo 24, 2020 2 comentarios

En el post anterior revisamos algunos de los Ciberataques a nivel global, pero esta claro que en el Perú los Ciberatacantes están mas activos que nunca, de hecho un articulo emitido por el Organismo Técnico de la Administración de los Servicios de Saneamiento – OTASS en Perú se han registrado mas de 433 millones de intentos de Ciberataques. El articulo completo lo pueden encontrar aquí

 

Pero de que forma están atacando en Perú ?

 

A) Correos Electrónicos engañosos (Phishing)

Esta es la forma clásica, mas antigua y sencilla de realizar valga las verdades, según el diario Gestión de Perú el envío de emails con información engañosa en Perú aumento un 25% en cuarentena y se espera aumento mediante campanas de phishing bastante elaboradas a ciertos públicos objetivos.

ciberataques en Peru

 

 

B) Mensajes de texto SMS engañosos (SMS Phishing)

Esta forma de envío ha crecido significativamente también, enviando direcciones de internet o URL haciendo pasar por alguna entidad bancaria o empresa, esto es porque aprovechan que las personas hacen clic en los enlaces y no verifican si la dirección de internet es verdadera desde los teléfonos celulares o dispositivos móviles, de esta forma recogen no solo información bancaria si no también información personal que puede ser usada luego en ataques mas focalizados, aquí unos ejemplos:

 

ciberataques en Peru

ciberataques en Peru

Es necesario verificar, verificar, verificar mediante los siguientes pasos como se muestra a continuación :

 

 

C) Publicidad engañosa en redes sociales.
Como se podría esperar las redes sociales no están ajenas a este tipo de engaño , campañas donde que aprovechan la coyuntura también están a la orden del día siendo focalizadas en las que se leen desde dispositivos móviles (celulares) donde no es usual verificar si son paginas web o direcciones de internet validas.

ciberataques en peru

Es altamente necesario verificar siempre las direcciones de internet como en este caso :

ciberataques en peru

Conclusiones
Es evidente que los medios de banca digital y comercio electrónico sean convertido en estos tiempos de cuarentena y aislamiento social en un medio vital  y no es la intensión de esta nota indicar que son malos y no se tienen que usar, todo lo contrario, el uso de estos medios representa un nuevo desafío para todos, en usar de manera correcta estas tecnologías y no caer en engaños como los que se han mostrado. Es así que así como el CODIV-19 nos toca ser muy precavidos para no caer en las redes de los ciberdelincuentes.

En el siguiente post veremos justamente recomendaciones a tener en cuenta para generar protección ante estos evento.

 

Ciberseguridad en tiempos de Coronavirus (Parte 1)

abril 14, 2020 2 comentarios

Para los que me conocen, saben que mi tipo de charla es normalmente técnicas y especializadas, sin embargo hace poco invitaron a brindar una charla denominada Ciberseguridad en tiempos de Coronavirus para el Instituto en el cual soy docente a tiempo parcial, me pidieron que prepare la charla para todo publico, respecto a la problemática actual,  entonces se me ocurrió que basado en la charla, realizar este conjunto de publicaciones que de ante mano, espero sea de utilidad para todos, la misma estará dividida en las siguientes partes :

Parte 1 .- Ciberataques en el Mundo.
Parte 2 .- Ciberataques en Perú.
Parte 3.-  Recomendaciones , generales y para todos y en el uso de Zoom y para el acceso a redes empresariales.

 

 

COVID-19 ha detenido el mundo, los Ciberataques se detuvieron?

Pues la respuesta es NO, de hecho han aumentado, por varios factores, entre ellos, el distanciamiento social y los estados de cuarentena en varios países, representan una gran oportunidad para los ciberdelincuentes, para desarrollar diversos tipos de “engaños” como los que veremos a continuación :

Ataques hacia Organizaciones.

Un ejemplo de ello es el que sufrió la misma Organización Mundial de la Salud (OMS) que enviaron correos electrónicos falsos a los empleados de esta organización, para comprometer o hackear sus equipos de computo, con el objetivo de robar información interna para luego ser comercializada al mejor postor seguramente.

omsomsFuente : https://www.elconfidencial.com/tecnologia/2020-03-23/hackers-oms-salud-coronavirus_2514168/

 

Ataques hacia plataformas de vídeo conferencias.

Basado en el contexto, en donde se ha tenido que migrar hacia el aprendizaje a distancia, trabajo desde casa y demás usos, el que se ha llevado todos los premios en tener alertas de seguridad es Zoom, esto sin lugar a dudas es por que se convertido en la aplicación mas usada para este fin.

Es por ello, que era casi predecible, que iban a aparecer diversos tipos de “pruebas” de seguridad, recuerden los ciberdelincuentes buscan siempre en lugares/sitios/plataforma de uso masivo.  Para aprovechar justamente las debilidades de seguridad, que se el caso de Zoom se encontraron en su momento, a tal punto que el mismo FBI y GOOGLE han recomendado no usarlo.

Cabe señalar que Zoom ha hecho grandes esfuerzos para corregir los problemas de seguridad, su CEO ha salido a dar la cara en varias oportunidades, indicando que están trabajando para corregir estos problemas, ya que son cocientes de la gran responsabilidad que tienen en esta pandemia, al convertirse la principal herramienta de comunicación en estos tiempos, sin embargo ya se pueden apreciar las consecuencias que dejaron estos problemas.

Fuente : https://cnnespanol.cnn.com/2020/04/03/zoombombing-el-fbi-advierte-que-las-llamadas-de-video-por-zoom-estan-siendo-interceptadas/

zoom

Recientemente, se difundido noticias que ya se comercializan usuarios y contraseñas en la red oscura.

Fuente : https://gbhackers.com/zoom-compromised-credentials/

El el siguiente articulo veremos recomendaciones para mejorar la seguridad en esta popular plataforma.

 

Malware Bancario que deja abajo servicios en la nube.

Emotet un malware especializado en robar cuentas bancarias tuvo un efecto muy particular en una red de Microsoft, ya que a raíz de que un usuario abrió un correo electrónico con ese malware, causo el sobre calentamiento de CPU de los servidores y consumo excesivo de ancho de banca produciendo in disponibilidad en los servicios de una de las redes de Microsoft Azure.

Fuente : https://computerhoy.com/noticias/tecnologia/malware-emotet-615999


El correo electrónico como transportador del virus.

Virus informático, puntualizando. Los ataques haciendo uso de correos electrónicos son un clásico desde la aparición de internet, a tal punto que en esta época de COVID-19 se han incrementado como hemos visto, así que vale la pena mencionar la siguiente diferenciación.

Phishing, ataque tradicional, haciendo la analogía mas certera, es como cuando un pescador lanza su red para ver cuantos peces puede capturar.

Spear-Phishing, es un envío de correos electrónicos muy focalizado en un individuo en especial o en un grupo es especial como el caso de la OMS, en este caso el Ciberdelincuente se esmera en crear normalmente un escenario de estafa para que los usuarios.

En la segunda parte veremos ataques focalizados en Perú.

Instalación de Cluster de Kubernetes con Vagrant

marzo 4, 2020 Deja un comentario

Como parte de las labores de despliegue de software, la automatizar los procesos de infraestructura como código, es vital, para las actividades de Pentesting / Ethical Hacking tener construir tus entornos y escenarios locales de prueba sirve infinitamente para poder realizar tus P.O.C.

Es así que aquí va el procedimiento para automatizar la instalacion de un Cluster de Kubernetes usando Vagrant en Centos 7, este es el Escenario.

Ubuntu 16.04.6 LTS
Vagrant 2.2.3

Este es Vagantfile

###########################################

# -*- mode: ruby -*-
# vi: set ft=ruby :

VAGRANTFILE_API_VERSION = “2”
##Variables de configuracion ###
INTERFASE_BRIDGE = “wlps01”
DIRECCION_IP_BRIDGE = “192.168.1.151”
MASCARA_RED = “255.255.255.0”
PUERTA_ENLACE = “192.168.1.1”
##Configuracion de la VM master
Vagrant.configure(VAGRANTFILE_API_VERSION) do |config|
config.vm.box = “centos/7”
config.disksize.size = ’50GB’
config.vm.network “public_network”, bridge: INTERFASE_BRIDGE, ip: DIRECCION_IP_BRIDGE, netmask: MASCARA_RED, gateway: PUERTA_ENLACE
config.vm.hostname = “k8s-master”
config.vm.provider “virtualbox” do |v|
v.name = “k8s-master”
v.memory = 2048
v.cpus = 2
end
##Insertar llave SSH
config.ssh.insert_key = false
config.ssh.private_key_path = [‘~/.vagrant.d/insecure_private_key’, ‘~/.ssh/id_rsa’]
config.vm.provision “file”, source: “~/.ssh/id_rsa.pub”, destination: “~/.ssh/authorized_keys”
##Configuracion de SSH, SELINUX, IPTABLES, SWAP, FIREWALLD
config.vm.provision “shell”, inline: <<-EOC
sudo sed -i -e “\\#PasswordAuthentication yes# s#PasswordAuthentication yes#PasswordAuthentication no#g” /etc/ssh/sshd_config
sudo sed -i -e “\\#PermitRootLogin prohibit-password# s#PermitRootLogin prohibit-password#PermitRootLogin yes#g” /etc/ssh/sshd_config
sudo sed -i -e “\\#SELINUX=enforcing# s#SELINUX=enforcing#SELINUX=disabled#g” /etc/selinux/config
sudo systemctl restart sshd.service
sudo setenforce 0
sudo modprobe br_netfilter
sudo echo ‘1’ > /proc/sys/net/bridge/bridge-nf-call-iptables
sudo sed -i ‘/swap/d’ /etc/fstab
sudo swapoff -a
sudo systemctl stop firewalld
sudo systemctl mask firewalld
echo “Instalacion de Docker”
sudo yum -y install vim yum-utils net-tools
sudo yum -y install epel-release
sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager –add-repo=https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install -y docker-ce
echo “Instalacion de Kubernetes”
sudo yum-config-manager –add-repo=http://www.silcom.com.pe/soft/kubernetes.repo
sudo yum-config-manager –enable Kubernetes
sudo yum install -y kubelet kubeadm kubectl
echo “Fin de Instalacion”
EOC
##Reinicio de la VM
config.vm.provision :reload
##Configuracion e inicio de servicio docker y kunernestes
config.vm.provision “shell”, env: {“VARIP” => “192.168.1.151”}, inline: <<-EOC
sudo sed -i ‘1i $VARIP k8s-master k8s-master’ /etc/hosts
sudo systemctl start docker && systemctl enable docker
sudo systemctl start kubelet && systemctl enable kubelet
sudo sed -i ‘s/cgroup-driver=systemd/cgroup-driver=cgroupfs/g’ /usr/lib/systemd/system/kubelet.service.d/10-kubeadm.conf
sudo systemctl daemon-reload
sudo systemctl restart kubelet
echo “Inicializacion de Cluster”
sudo kubeadm init –apiserver-advertise-address=$VARIP –pod-network-cidr=10.244.0.0/16
sudo mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
echo “Fin de Inicializacion de Cluster”
echo “Desplegar el pod network”
sudo kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
echo “Pod network creado”
echo “FIN”
EOC
#Fin SSH
end

##############################################################3

Finalmente este es el video donde se muestra el despliegue :

Espero les sirva.
Saludos
@jroliva

 

Vulnerabilidades de XXE y RCE en ZIMBRA

marzo 25, 2019 2 comentarios

No hay duda que Zimbra es uno de los software para implementar correos electrónicos sobre Linux mas usados, debido a ello no es ajeno a vulnerabilidades, recientemente un investigador de seguridad ha descubierto que mediante la explotación en secuencia de vulnerabilidades recientemente descubiertas, es posible lograr ejecución remota de comandos “RCE” sobre una plataforma Zimbra para tomar el control completo de esta.

Las vulnerabilidades se han catalogado como CVE-2016-9924, CVE-2018-20160 y CVE-2019-9670, las versiones afectadas son todas sin embargo ZIMBRA ha lanzado los parches para la versiones  8.7.11 y 8.8x, las cuales las pueden ubicar aquí :

https://wiki.zimbra.com/wiki/Zimbra_Releases

https://wiki.zimbra.com/wiki/Zimbra_Releases/8.7.11/P10

https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.9/P9

El exploit realizado en python al parecer a la fecha aún no es publico ( si lo encuentran me avisan 😀 ), ya que se ha publicado un vídeo del P.O.C. de la explotación hace unos días  :

 

Zimbra ha emitido un comunicados y parches a las vulnerabilidades por versión especifica, como la 8.8.x y 8.7.11 sin embargo hasta que el exploit este disponible no se sabrá certeramente si las otras versiones también son afectadas.

Este seria el procedimiento para aplicar el parche en la versión 8.7.11

Descargar el parche:

Descomprimir :

Reiniciar los servicios :

Espero que cuando ubique el exploit poder realizar las pruebas para verificar la vulnerabilidad por ahora solo toca aplicar los parches respectivos.

Saludos

Juan Oliva

@jroliva

 

Categorías:Manuales y tutoriales

Asterisk Rest Interface (ARI) en Issabel

enero 21, 2019 3 comentarios

Una de las cosas que me gusta hacer junto con el Ethical Hacking es instalar/programar aplicaciones de Voz para ello hace mucho tiempo que uso Asterisk, evidentemente esto a evolucionado gratamente para los que nos gusta esta área, a partir de Asterisk 12 apareció ARI o “Asterisk REST Interface” API que permite programar cualquier tipo de aplicación y que se ejecute en Asterisk.

Realmente ARI desde mi punto de vista ha cambiado la forma de ver lo que se puede hacer con Asterisk ya que no solo es pensar en una PBX, si no que ahora puedes tomar las librerías de ARI de los lenguajes mas importantes como python, C#, Java, Javascript, para conectarte a la API y empezar a desarrollar usando la aplicación que implementa Asterisk a nivel de dialplan llamada “Statis”.

En esa linea de ideas, debido a que Issabel trae Asterisk 13 podemos usar ARI sin problemas, a continuación veremos como realizar la configuración del mismo y realizar una prueba básica usado la herramienta wscat para conectarnos vía Websocket hacia la API en este caso ARI.

 

1.- Configurar ARI en Issabel

Ingresar al archivo http_custom.conf y activar ARI e indicarle en que puerto va funcionar de la siguiente forma:

Luego ingresar al archivo “ari.conf” el usuario y contraseña con el cual usaremos ARI

2.- Crear el dialplan

Ahora crearemos un dialplan para consumir y/o conectarse hacia ARI , para ello sera necesario declarar una extension 9000 donde invocaremos la aplicacion “Stasis” que es el mecanismo que utiliza Asterisk para entregar el control de un canal desde el plan de marcado hacia ARI.

En el archivo “extensions_custom.conf” incluimos un nuevo contexto llamado “ariwebsoket” de la siguiente forma:

 

Luego agregamos el final del archivo el nuevo conexto:

3.- Pruebas con ARI sobre Issabel.

Vamos a preparar una prueba muy sencilla de como nos podemos conectar mediante una petición de websoket hacia ARI para visualizar un evento en concreto, para ello sera necesario instalar wscat mediante nodejs.

curl -sL https://rpm.nodesource.com/setup_8.x | bash –
yum install -y nodejs
npm install -g wscat

Ahora desde una terminal nos conectamos a Issabel y ejecutamos

wscat -c “ws://localhost:8088/ari/events?api_key=ari:tucontrasena&app=hello-world”

Veremos que estamos conectados hacia ARI, de igual forma en el CLI veremos lo siguiente:

Lo cual nos indica que hay una conexión vía WebSocket hacia la aplicación “Hello-world”

Ahora al llamar a la extensión 9000 sera posible ver los detalles del evento mediante ARI de la siguiente forma

Esto es un test muy sencillo para validar que ARI funciona correctamente en Issabel, en un post nuevo veremos como desarrollar una aplicación con Nodejs haciendo uso de una cliente ARI para controlar Issabel.

Saludos
Juan Oliva.

 

 

búsqueda de vulnerabilidades mediante análisis de código fuente estático

enero 11, 2019 5 comentarios

Luego de terminar el año a full, regresar de unas pequeñas vacaciones me pongo al día con el blog ya que lo he tenido un poco descuidado. Como parte de las actividades en los proyectos de Ethical Hacking se tienen requerimientos para buscar vulnerabilidades en el código fuente de manera estática, es decir sin que la aplicación evaluada este ejecutándose, para realizar ello nos podemos ayudar en ciertas herramientas que pueden AYUDAR en realizar esto, y resalto AYUDAR por que ninguna herramienta va hacer el trabajo al 100% , siempre va ser necesario realizar un análisis posterior de los casos.

En este caso, vamos a aprender a instalar , configurar y usar Sonarqube es una herramienta que me a ayudado mucho en estas labores, este procedimiento se puede aplicar en Ubuntu 18.04.1 u otro derivado.

 

1.- Instalar java

sudo apt install openjdk-8-jdk openjdk-8-jre

2.- Crear directorio

mkdir sonarqube

2. -Descargar Sonarqube

Para ello es necesario ingresar a la pagina : https://www.sonarqube.org/downloads/

También es necesario descargar el escaner de : https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner

Al descomprimir los archivos tendremos lo siguiente :

3.- Luego descargaremos un proyecto opensource como DVWA para analizarlo

Para esto descargaremos un viejo conocido como DVWA

4.- Ahora vamos a configurar el escaner

– Crear una carpeta “main” en la ruta sonar-scanner-3.2.0.1227-linux/bin

cd sonar-scanner-3.2.0.1227-linux/bin
mkdir main

– luego dentro de la carpeta “main” vamos a mover y descomprimir la carpeta de la aplicacion a analizar

mv DVWA-master.zip sonar-scanner-3.2.0.1227-linux/bin/main/
cd sonar-scanner-3.2.0.1227-linux/bin/main/
unzip DVWA-master.zip

– Ahora crear un archivo “sonar-project.properties” indicando la aplicación a evaluar de la siguiente forma

cd sonar-scanner-3.2.0.1227-linux/bin
vim sonar-project.properties

5.- Finalmente iniciamos el panel de sonar y luego escaner para iniciar el análisis

– Iniciar sonar
cd sonarqube/sonarqube-6.7.5/bin/linux-x86-64
./sonar.sh start

Sonar iniciara en el puerto 9000 del localhost de la siguiente forma

 

– Ahora iniciar el escaner
cd sonarqube/sonar-scanner-3.2.0.1227-linux/bin
./sonar-scanner

Como vemos el análisis del de las paginas se realizo correctamente.

6.- Análisis de resultados

Luego de que el escáner termine el análisis en el panel de sonar aparecerá un nuevo proyecto de la siguiente forma

Como vemos ahora tenemos un proyecto analizado, al ingresar veremos que tenemos catalogadas los bugs, vulnerabilidades, entre otros resultados.

Al ingresar a las vulnerabilidades, tendremos un listado de las mismas.

El siguiente paso es analizar cada una de las vulnerabilidades reportadas en el código para identificar la importancia de las mismas, su importancia en el modelo de negocio y por su puesto como poder corregirlas.

 

Espero que les sirva.
Saludos
Juan Oliva