miércoles, 6 de junio de 2018

Usando DefectDojo para control de vulnerabilidades

Estimados amigos de Inseguros !!!

Cuando ofrecemos servicios de auditoría o pentesting, o incluso como cliente te planteas hacer un proyecto de este tipo, es indudable que aparezca el temor a que el resultado del trabajo sea un entregables, en papel, más o menos bonito, con un montón de hallazgos y soluciones, pero escasas herramientas de tracking de cambios.

En algunos clientes se acompaña el trabajo de auditoria con el trabajo de gestión del proyecto global, incluidos los resultados. Me eeeeeexplicoooooo.



Si en una auditoría se detecta la necesidad de hacer una actualización puntual, se crea un ticket en la plataforma de incidentes del cliente ( o nuestra) para poder establecer un control sobre la remediación. Qué persona se va a encargar, cuando, como, rellenar una KB, etc etc.

A las malas malas malas, estoy hablando de usar ese libro gordo de petete del resultado de la auditoría, e ir "tachando" qué se va a haciendo !!!

Una de las cosas que se mide en la mayoría de normativas de seguridad y certificaciones es el control de las auditorias. Bueno, en primer lugar es que la organización pase auditorías, pero lo segundo es que se vayan controlando los cambios y solucionando los hallazgos.

Para meternos más en este mundo, voy a comentar una aplicación que he visto por las redes sociales que me parece muy interesante para esta gestión. Quizás más interna por lo que veremos ahora, pero vamos paso a paso y vamos a instalarla. Me refiero a DEFECT DOJO.

Como en todo lo "moderno", podemos usar contenedores tanto en Docker como en vagrant, pero yo soy de montarme mi máquina virtual en Azure e instalar desde cero.

El proceso es sencillo, instala Mysql y corre el script de instalación. Nota mental, en las nuevas Debian 9 mysql es Mariadb, y hay alguna librería de desarrollo que cambia y da problemas, asegúrate de montar el aplicativo sobre Mysql.

También tendrás que permitir los allowed_host para la app en django y poco más...


Vamos a hacer uso de las integraciones que nos trae el framework de casa.



Vamos a crear un producto, vamos a establecerle unos test y vamos a subir un report de Burp con una Sql Injection.



Como se aprecia en la imagen, se adquiere la información de Burp y se pueden añadir imágenes.

El framework permite añadir una plantilla para cada tipo de elemento, lo típico de nuestro trabajo de tener el texto en castellano con nuestra explicación...

Sin duda es una herramienta con mucho potencial, gracias a su integración con JIRA y la gestión de tickets.

Voy a darle unas pocas vueltas y otro día vemos más cosas.

Un saludo, gracias por leerme !!!


Aquí te paso un video de una demo por si te interesa ampliar información:

https://youtu.be/3Voscdxg4FA