CODA-CLI en accion en KB GX18


Problema

En una KB grande desarrollada con GeneXus 18 surgió la necesidad de verificar que ninguna API pública estuviera exponiendo información sensible.

Realizar esta tarea manualmente es costoso: la solución cuenta con más de un centenar de servicios publicados entre APIs REST, servicios SOAP y servicios HTTP. Revisar uno por uno sus parámetros de entrada y salida, además de las estructuras asociadas, puede demandar varios días de trabajo.

Para este análisis consideramos como datos sensibles toda aquella información que permita identificar directa o indirectamente a una persona o a una organización.

Datos personales

  • Nombre y apellido
  • Cédula o documento de identidad
  • Dirección
  • Sexo
  • Edad
  • Teléfono, correo electrónico, etc.

Datos de empresas

  • RUT
  • Razón social
  • Dirección
  • Información de contacto

Datos financieros

  • Números de cuenta bancaria
  • Tarjetas de crédito
  • Saldos
  • Otra información patrimonial

Solución

La solución fue utilizar GX for Agents usando CODA-CLI para analizar la KB.

Con un único prompt relativamente sencillo le pedí al agente que:

  • Identificara todos los objetos publicados como APIs, servicios SOAP, servicios REST y servicios HTTP pertenecientes a determinadas Deployment Units.
  • Obtuviera la lista completa de parámetros OUT e INOUT de cada servicio.
  • Si un parámetro correspondía a un SDT, analizara recursivamente toda su estructura y los SDT anidados.
  • Si desde esa Deployment Unit existían Business Components alcanzables, analizara la estructura de las transacciones que los generan para detectar posibles datos sensibles.
  • Generara un reporte indicando:
    • Qué datos sensibles fueron encontrados.
    • En qué servicios aparecen.
    • A través de qué estructura o parámetro se exponen.

Resultado

Un trabajo que tradicionalmente hubiera requerido varios días de revisión manual quedó reducido a aproximadamente una hora. Durante el proceso el agente realizó algunas preguntas para aclarar ciertos casos, pero el esfuerzo total fue mínimo comparado con una auditoría convencional.

Lo más interesante no es solamente la reducción del tiempo, sino que este tipo de análisis pasa a ser algo que puede ejecutarse de manera frecuente, incluso como parte de una revisión de seguridad antes de una publicación.

Una vez detectados los problemas, las correcciones se realizaron manualmente. En varios casos implicaban cambios funcionales o modificaciones en pantallas, un escenario en el que hoy todavía resulta más conveniente la intervención del desarrollador.

Mi conclusión es que herramientas como GX for Agents no solo aceleran el desarrollo, sino que habilitan nuevas tareas de análisis y auditoría que antes, por su costo, muchas veces simplemente no se hacían.

Comentarios

Publicar un comentario

1) Lee el post
2) Poné tu opinión sobre el mismo.
Todos los comentarios serán leidos y la mayoría son publicados.

Entradas más populares de este blog

La nefasta influencia del golero de Cacho Bochinche en el fútbol uruguayo

Imagen
Esta teoría no es mia, sino que se la escuché por primera vez a Andrés Acosta. Varias generaciones de niños en Montevideo, crecieron viendo un programa de televisión llamado Cacho Bochinche, donde había un juego donde habia que patear penales a un arco con un golero de goma. La falla fundamental del mismo, es que en vez de premiar a quienes metian goles, se premiaba a quienes logran pegarle un pelotazo al golero y tirarlo al suelo. O sea, quien pateaba en forma mas burda y fuerte, era el ganador. Para complicar mas la situación, muchas veces cuando un niño no lograba voltear al muñeco, el animador del programa (el inefable Cacho de la Cruz que hacía de juez), le pegaba o empujaba al golero para tirarlo al suelo y de forma de dejar contento al niño que estaba haciendo pucheros. Por lo tanto se promueven varios valores, que han logrado calar muy profundo en las generaciones de niños telespectadores: a) Es bueno patear fuerte y al medio b) Tirar a colocar es de maricones c) El golero es ...
Leer más

Impresión directa a impresora en el WEB con aplicaciones GeneXus.

A partir de la versión GX 9.0 (U2) se puede imprimir directamente a impresora con las aplicaciones WEB, a una impresora conectada a la maquina del cliente. Como se explica en el SAC 20913 y en el SAC 19809 Algunos pasos adicionales para lograr que no se vea el reporte, puede ser. 1) Hay que configurar el GXPrn.ini en el raiz del directorio virtual que se maneja (sige/WEB-INF, por ejemplo). Asignar un formulario USANDO SOLO MAYUSCULAS a la impresora en el GXPRN.INI. 2) Poner la propiedad "Show printer dialog" en NO 3) Hacer un Reporte/Procedimiento para lista que sea Main, con call protocol http, con la propiedad de "Only to Printer" y con las reglas printer("FORMULARIO"); output_file('salida','pdf); 4) En los webpanels que se vaya a imprimir directo a la impresora, poner una EmbededPage (EP), un boton imprimir, y el evento asociado a dicho boton. Event 'Imprimir' &Text=Link(PImprimir) //Este reporte es el creado en el pa...
Leer más

Migrando de GeneXus 9.0 a GeneXus X.

Imagen
La idea de este post es comentar algunos de los problemas que he encontrado migrando desde Genexus 9.0 a GeneXus X. Tiene también algunos tips que pueden hacer mas fácil la vida (al menos la mia). Los pasos que hice fueron: 1) Copiar el directorio de la KB para guardar en caso que pase algo. Borrar de la KB el directorio de los modelos (los DATA00x). Esto es para asegurarme que no me queda ningun fuente viejo, ni ninguna dll, jar, etc de la versión anterior. 2) Entrar con GeneXus 9.0 a la KB y borrar todos los modelos que no se utilicen. Esto se hace con File/Delete Model estando en diseño. Conviene borrar el modelo de Backup (si existe) pues acelera la conversión. 3) Renombrar el domino Boolean si existiera y ponerle Boolean90. En GeneXus X Boolean es un tipo de datos nativos y si existe un domino Boolean (como el que usa el Pattern WorkWith, se arma lio). 4) Borrar todos los objetos que no se utilicen y los que sean WIN. Este paso no es indispensable, pero es muy saludable. Puede a...
Leer más