Herramienta Rule Security Analyzer

La herramienta Rule Security Analyzer identifica los posibles riesgos de seguridad en sus aplicaciones, que pueden implicar vulnerabilidades a ataques, como el scripting en sitios cruzados (XSS) o la inyección de SQL.

Por lo general, estas vulnerabilidades solo pueden surgir en reglas no generadas automáticamente, como reglas de transmisión (HTML, JSP, XML o CSS) y declaraciones Java o SQL personalizadas.

Rule Security Analyzer analiza las reglas no generadas automáticamente y compara cada línea con una regla de expresiones regulares para encontrar coincidencias. La herramienta examina código de texto, HTML, JavaScript y Java en reglas de funciones y pasos de métodos Java de actividades individuales, y otros tipos de información según el tipo de regla.

Rule Security Analyzer busca vulnerabilidades en el código; para ello, busca coincidencias con expresiones regulares (regex) definidas en las reglas de expresiones regulares de Rule Security Analyzer. Se proporcionan varias reglas de expresiones regulares de Rule Security Analyzer como ejemplos para encontrar vulnerabilidades comunes. También puede crear sus reglas de expresiones regulares de Rule Security Analyzer para buscar otros patrones.

La forma más efectiva de buscar vulnerabilidades es volver a ejecutar Rule Security Analyzer varias veces, usando cada vez una regla de expresiones regulares diferente.

Se recomienda ejecutar Rule Security Analyzer antes de bloquear un ruleset, ya que le permite identificar y corregir problemas en las reglas antes de que se bloqueen. Rule Security Analyzer demora un par de minutos en ejecutar las diferentes expresiones regulares.

Para obtener más información sobre Rule Security Analyzer, consulte los siguientes documentos de ayuda: Rule Security Analyzer, Buscar vulnerabilidades de seguridad en las reglas y Reglas de expresiones regulares.