Lapse PlusLapse Plus es un plugin del entorno de desarrollo Eclipse destinado a detectar vulnerabilidades de seguridad en el código fuente de Aplicaciones Web Java J2EE. Es compatible con la versión 3.6 (Helios) y Java 1.6 o superior. Lapse Plus está basado en el software GPL denominado LAPSE1 del SUIF Compiler Group de la Universidad de Stanford2, ofreciendo una mayor funcionalidad y detectando un mayor número de vulnerabilidades en el código fuente. El funcionamiento del plugin se basa en la diferenciación de dos tipos generales de vulnerabilidades: las tipo source y las tipo sink. - Vulnerabilidades de tipo source: aquellas referentes a la manipulación de parámetros, cabeceras o cookies. Las vulnerabilidades source están asociadas a ataques de inyección de datos maliciosos. - Vulnerabilidades de tipo sink: las referentes al proceso de modificación de los datos, como respuesta de un servlet, una página JSP, una página HTML, etc. Los objetos sink derivan de los objetos source, es decir, un objeto source se puede transformar en un objeto sink a través de asignaciones simples, invocaciones de métodos, paso de parámetros, etc. Las vulnerabilidades sink están asociadas a ataques de manipulación de la aplicación. En los siguientes enlaces puedes acceder al vínculo de descarga del plugin, así como a su manual.
|
