[Owasp-italy] Ciao...

Dario Ghilardi darioghilardi at gmail.com
Wed Mar 25 09:17:56 EDT 2009


Ciao a tutti,sono nella mailing da circa un anno, ho scritto però solo una
volta.
Mi presento nuovamente: mi chiamo Dario Ghilardi, sono laureato in Sicurezza
Informatica presso la Statale di Milano, dove attualmente seguo la i corsi
della laurea specialistica. Sono uno sviluppatore php da circa 5 anni e da
poco più di anno collaboro con Drupal, esperienza che è iniziata
partecipando al Google Summer Of Code 2008 e poi proseguita in ambito
lavorativo utilizzandolo come framework.
Premetto che nonostante il mondo della web security mi piaccia parecchio di
passi da fare ne ho davvero ancora tanti. Il tempo è sempre poco e lavorando
per un'azienda che realizza siti web l'ambito security viene toccato in modo
solo marginale.
All'università invece sto utilizzando ora i vostri WebGoat e WebScarab per
un progetto e devo dire che sono davvero ottimi strumenti.
Per lo scorso Summer Of Code ho realizzato un progetto riguardante la
security, vale a dire uno scanner per trovare vulnerabilità XSS in
un'installazione di Drupal. Il sistema è molto banale, semplicemente una
volta fornitogli un pattern XSS si preoccupa di navigare tutto il sito per
andare ad inserire in tutti i campi di testo la stringa malevola.
Successivamente fa una nuova scansione per vedere dove viene visualizzato il
pattern inserito senza filtraggio.
Al Summer Of Code di quest'anno vorrei proseguire in ambito web security
aggiungendo qualche strumento per la ricerca di vulnerabilità,
concentrandomi però su XSS e CSRF. Vorrei chiedervi consiglio per capire
quali procedure posso automatizzare per migliorare il meccanismo di ricerca
di XSS e CSRF oltre a quella già implementata.
Al momento l'unica proposta pervenuta sembra essere questa:
http://jaspan.com/tainted-bugs-or-automatically-detecting-xss-security-holes
Vi ringrazio,
Buona giornata
-- 
----------------------------------------------------------
Dario Ghilardi
gtalk: darioghilardi at gmail.com
msn: darioghilardi at hotmail.it
skype: nikolasarcevic
web: http://www.darioghilardi.com
mob: +39 338 6019721
----------------------------------------------------------
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-italy/attachments/20090325/1f5ff5d0/attachment.html 


More information about the Owasp-italy mailing list