[Owasp-italy] Ciao...

Alessio Marziali alessio.marziali at cyphersec.com
Wed Mar 25 10:19:32 EDT 2009


Ciao Dario,

Ti scrivo una email per darti un consiglio ed allo stesso
tempo farti una proposta.

1) Uno strumento di rilevazione vulnerabilita' non sara' mai
completo. Non c'e' sicurezza nel basarsi su di un unico
strumento automatico. Perfettamente d'accordo che alcuni
tools facciano il loro dovere, ma ricordati che, per citarne
una, le business flaws non possono essere rilevate da questo
tipo di tools.

2) Una settimana fa ci siamo incontrati con Dinis Cruz qui a
Londra ed insieme abbiamo preso la decisione di unire gli
sforzi per "sincronizzare" OWASP Code Crawler con OWASP O2.
Eoin Keary ci ha dato il via libera da dublino

Successivamente a quanto detto, nella lunga road map che ci
siamo fissati, sara' necessario rendere Crawler capace di
"scansionare" codice PHP. Allo stesso tempo dovremmo rendere
l'applicativo capace d'identificare vulnerabiita' XSS/CSRF
questo indipendentemente dal linguaggio scritto
[.NET/Java/PHP].

Leggendo la tua mail ho avuto l'impressione che tu sia una
persona che mi farebbe piacere avere a bordo. Fammi sapere
cosa ne pensi.

Ciao,
A

----- Original Message -----
Da : Dario Ghilardi <darioghilardi at gmail.com>
A : Owasp Italia <owasp-italy at lists.owasp.org>
Oggetto : [Owasp-italy] Ciao...
Data : Wed, 25 Mar 2009 14:17:56 +0100

> Ciao a tutti,sono nella mailing da circa un anno, ho
> scritto però solo una volta.
> Mi presento nuovamente: mi chiamo Dario Ghilardi, sono
> laureato in Sicurezza Informatica presso la Statale di
> Milano, dove attualmente seguo la i corsi della laurea
> specialistica. Sono uno sviluppatore php da circa 5 anni e
> da poco più di anno collaboro con Drupal, esperienza che
è
> iniziata partecipando al Google Summer Of Code 2008 e poi
> proseguita in ambito lavorativo utilizzandolo come
> framework. Premetto che nonostante il mondo della web
> security mi piaccia parecchio di passi da fare ne ho
> davvero ancora tanti. Il tempo è sempre poco e lavorando
> per un'azienda che realizza siti web l'ambito security
> viene toccato in modo solo marginale.
> All'università invece sto utilizzando ora i vostri
WebGoat
> e WebScarab per un progetto e devo dire che sono davvero
> ottimi strumenti. Per lo scorso Summer Of Code ho
> realizzato un progetto riguardante la security, vale a
> dire uno scanner per trovare vulnerabilità XSS in
> un'installazione di Drupal. Il sistema è molto banale,
> semplicemente una volta fornitogli un pattern XSS si
> preoccupa di navigare tutto il sito per andare ad inserire
> in tutti i campi di testo la stringa malevola.
> Successivamente fa una nuova scansione per vedere dove
> viene visualizzato il pattern inserito senza filtraggio.
> Al Summer Of Code di quest'anno vorrei proseguire in
> ambito web security aggiungendo qualche strumento per la
> ricerca di vulnerabilità, concentrandomi però su XSS e
> CSRF. Vorrei chiedervi consiglio per capire quali
> procedure posso automatizzare per migliorare il meccanismo
> di ricerca di XSS e CSRF oltre a quella già
implementata.
> Al momento l'unica proposta pervenuta sembra essere
> questa:
>
http://jaspan.com/tainted-bugs-or-automatically-detecting-xss-security-holes
> Vi ringrazio,
> Buona giornata
> -- 
> ----------------------------------------------------------
> Dario Ghilardi
> gtalk: darioghilardi at gmail.com
> msn: darioghilardi at hotmail.it
> skype: nikolasarcevic
> web: http://www.darioghilardi.com
> mob: +39 338 6019721
> ----------------------------------------------------------
> 
> 
> _______________________________________________
> Owasp-italy mailing list
> Owasp-italy at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-italy
> 


More information about the Owasp-italy mailing list