Home » Blogs » fch's blog

Les RATS à laisser couler avec le navire...

Présentation

RATS est un outil d'audit de code plus particulièrement accès sur la sécurité.
Il est à noter que RATS est capable d'auditer des programmes écrient dans d'autre langage que PHP.

Installation et configuration

RATS est écrit en C et nécéssite donc une compilation.
L'installation est donc simple puisqu'elle passe par un appel à configure et make.
De plus, la documentation relative à l'installation est complète.

Utilisation

RATS s'utilise en ligne de commande.
Un appel à RATS avec l'argument -h permet d'avoir un descriptif complet des options possibles.

RATS a été testé à l'aide des applications/scripts suivants :

  1. Joomla
  2. dotclear
  3. Jelix

Les tests ont été effectués sur un ordinateur portable Acer Aspire 5720Z (Core Duo T2310 à 1.46 GHz, 2 Go de RAM DDR2 667 MHz) sous système d'exploitation FreeBSD 6.3 Release.

Joomla

L'éxécution de RATS sur le répertoire /libraries de joomla a nécéssité 0,3 seconde pour un volume de code de 4,2Mo.
RATS a essentiellement généré des avertissements sans fondement à propos de toutes les fonctions permettant d'envoyer des courriers électronique, de manipuler le système de fichier ou bien des ressources réseaux.

dotclear

L'éxécution de RATS sur le répertoire /inc de dotclear a nécéssité 0,13 seconde pour un volume de code de 770Ko.
RATS a essentiellement généré des avertissements sans fondement à propos de toutes les fonctions permettant d'envoyer des courriers électronique, de manipuler le système de fichier ou bien des ressources réseaux.

Jelix

L'éxécution de RATS sur Jelix a nécéssité 0,3 seconde pour un volume de code de 3,5Mo.
RATS a essentiellement généré des avertissements sans fondement à propos de toutes les fonctions permettant d'envoyer des courriers électronique, de manipuler le système de fichier ou bien des ressources réseaux.

Conclusion

RATS est certainement un bon outil lorsqu'il est mis en oeuvre avec d'autre langage que le PHP.
Le nombre de cas de figure pouvant éventuellement posé problème qu'il est capable de détecter est en effet limité (55 au jour de ce test), et il semble essentiellement se concentrer sur la détection de fonction d'entrée/sortie de PHP.
De plus, il ne suggère aucune correction ou optimisation.
Son intérêt est donc relativement limité.

Fiche technique

Site web :
http://www.fortifysoftware.com/security-resources/rats.jsp
Auteur :
Fortify Software
Language :
C
Licence :
LGPL