route detect

Buscar errores de seguridad de autenticación (Authn) y autorización (AuthZ) en rutas de aplicaciones web:

Rutas del servidor de transmisión de koel

Aplicación web HTTP Route Authn y Authz Bugs son algunos de los problemas de seguridad más comunes que se encuentran en la actualidad. Estos recursos estándar de la industria destacan la gravedad del problema:

• 2021 OWASP TOP 10 #1 - Control de acceso roto
• 2021 OWASP TOP 10 #7 - Fallas de identificación y autenticación (autenticación anteriormente rota)
• 2023 API OWASP Top 10 #1 - Autorización de nivel de objeto roto
• 2023 API OWASP Top 10 #2 - Autenticación rota
• 2023 API OWASP Top 10 #5 - Autorización del nivel de función rota
• 2023 CWE Top 25 #11 - CWE -862: autorización faltante
• 2023 CWE Top 25 #13 - CWE -287: autenticación inadecuada
• 2023 CWE Top 25 #20 - CWE -306: autenticación faltante para la función crítica
• 2023 CWE Top 25 #24 - CWE -863: Autorización incorrecta

Marcos web compatibles (ID route-detect entre paréntesis):

• Python: Django ( django , django-rest-framework ), Flask ( flask ), SANIC ( sanic ), FASTAPI ( fastapi )
• PHP: Laravel ( laravel ), Symfony ( symfony ), CakePhp ( cakephp )
• Ruby: rieles* ( rails ), uva ( grape )
• Java: Jax-RS ( jax-rs ), primavera ( spring )
• GO: Gorilla ( gorilla ), Gin ( gin ), Chi ( chi )
• JavaScript/TypeScript: Express ( express ), React ( react ), Angular ( angular )

* El soporte de Rails es limitado. Consulte este problema para obtener más información.

Use pip para instalar route-detect :

 $ python -m pip install --upgrade route-detect

Puede verificar que route-detect se instale correctamente con el siguiente comando:

 $ echo 'print(1 == 1)' | semgrep --config $(routes which test-route-detect) -
Scanning 1 file.

Findings:

  /tmp/stdin
     routes.rules.test-route-detect
        Found '1 == 1', your route-detect installation is working correctly

          1┆ print(1 == 1)


Ran 1 rule on 1 file: 1 finding.

route-detect proporciona el comando routes CLI y usa semgrep para buscar rutas.

Use which subcomando para señalar semgrep en las reglas de aplicación web correctas:

 $ semgrep --config $(routes which django) path/to/django/code

Use el subcomando viz para visualizar la información de ruta en su navegador:

 $ semgrep --json --config $(routes which django) --output routes.json path/to/django/code
$ routes viz --browser routes.json

Si no está seguro de qué marco buscar, puede usar la identificación especial all para verificar todo:

 $ semgrep --json --config $(routes which all) --output routes.json path/to/code

Si tiene una lógica personalizada Authn o AuthZ, puede copiar las reglas de route-detect :

 $ cp $(routes which django) my-django.yml

Luego puede modificar la regla según sea necesario y ejecutarla como arriba:

 $ semgrep --json --config my-django.yml --output routes.json path/to/django/code
$ routes viz --browser routes.json

route-detect utiliza poetry para la gestión de dependencia y configuración.

Antes de continuar, instale dependencias del proyecto con el siguiente comando:

 $ poetry install --with dev

Piel todos los archivos de proyecto con el siguiente comando:

 $ poetry run pre-commit run --all-files

Ejecute pruebas de Python con el siguiente comando:

 $ poetry run pytest --cov

Ejecute pruebas de regla SEMGREP con el siguiente comando:

 $ poetry run semgrep --test --config routes/rules/ tests/test_rules/