[Owasp-italy] Ciao...

Paolo Perego thesp0nge at gmail.com
Thu Mar 26 17:40:47 EDT 2009


Ciao Roberto, sì Orizon è un SAST. Può essere utilizzato sia come
motore all'interno di altre applicazioni che come standalone tool.
Orizon non è pensato per scannare un linguaggio specifico. Sono stati
previsti "Language pack" dove partendo da una grammatica BNF e freecc
viene costruito un parser per il linguaggio ed un collettore che aiuta
il motore di modeling.
Ho fatto vedere oggi al SecuritySummit una piccola demo. Orizon al
momento è in grado di fare il parse del codice di wordpress per il 40%
(la grammatica per PHP non è un granché) e per ora è attivo il modulo
di crawling Twilight, il motore di analisi statica vero e propria è in
corso di ristrutturazione.
A breve verranno aggiunti i language pack per C, COBOL e Java.

Domani pensavo di pubblicare le slide dello speech di oggi ed una
piccola demo... magari chi è interessato può contattarmi.
Ciao ciao

Paolo

2009/3/26 roberto battistoni <rbattistoni at acm.org>:
> Quindi il tuo scanner tecnicamente è quello che si chiama un Dynamic Code
> Analyzer :-)
>
> Pixy, come del resto SCA Fortify e anche CodeCrawler, invece appartiene alla
> famiglia degli Static Source Code Analyzer. Questi ultimi analizzano il
> codice senza eseguirlo, interpretandolo in qualche modo (ricerca di
> stringhe, compilazione in un linguaggio intermedio orientato all'analisi di
> sicurezza) e riconoscendo eventuali pattern di possibili vulnerabilità. Se
> non sbaglio anche Orizon appartiene alla stessa famiglia.
>
> Se taint richiede l'esecuzione del codice allora mi viene da pensare che
> differisca parecchio da Pixy almeno nell'approccio. Ma non conosco Taint
>
> 2009/3/26 Dario Ghilardi <darioghilardi at gmail.com>
>>
>> Il giorno 26 marzo 2009 13.20, antonio parata <aparata at gmail.com> ha
>> scritto:
>>>
>>> Ciao all,
>>>
>>> visto che siamo in tema di analisi statica annuncio che anche io sto
>>> sviluppando un tool per PHP (nome in codice Codeminer) che dovrei
>>> rilasciare (versione beta non supportante l'OOP) entro aprile. Dario
>>> (and all) se sei interessato potrei inviarti una copia quando sarà
>>> pronto, un tester in più fa sempre bene :P
>>
>> Volentieri.
>>
>> Vi chiedo un po di chiarimenti:
>> Pixy è un tool di analisi statica, il mio non lo è perchè sfrutta il
>> funzionamento di Drupal al fine di trovare le vulnerabilità iniettando una
>> stringa xss in ogni text field e textarea di ogni form e poi andandola a
>> cercare quando verrà mostrata non filtrata.
>> Pixy non fa la stessa cosa, analizza il codice senza eseguirlo e  verifica
>> quando una variabile non viene filtrata prima di essere usata fornendo un
>> report. Sono due approcci diversi, infatti il mio security scanner non trova
>> vulnerabilità SQL injection ad esempio, perchè esse non comunicano nulla.
>> Quindi a prima vista Pixy sembra essere molto più completo.
>> Qualcuno vuole aggiungere qualcosa?
>> Ora però mi resta da capire in cosa differisce taint da pixy (so che
>> esiste taint php ed ho provato a vedere come funziona ma mi sembra pressochè
>> la stessa cosa, tranne per il fatto che i warning vengono mostrati durante
>> l'esecuzione).
>> Ciao,
>> Dario
>>>
>>> Ciao,
>>> s4tan
>>>
>>> 2009/3/26 Dario Ghilardi <darioghilardi at gmail.com>:
>>> > Il giorno 26 marzo 2009 11.44, Luca Carettoni
>>> > <luca.carettoni at ikkisoft.com>
>>> > ha scritto:
>>> >>
>>> >> Forse mi sono perso, ma mi sembra che Dario parlava di un blackbox
>>> >> scanner e non di un tool per l'analisi statica del codice.
>>> >
>>> > Direi che l'obiettivo primario è continuare il lavoro sullo scanner già
>>> > realizzato, ma anche qualche idea sull'analisi statica del codice può
>>> > essere
>>> > aggiunta ad un altro modulo che effettua già ricerca di pattern XSS.
>>> >
>>> >>
>>> >> Comunque sia, consiglio di dare un occhio a
>>> >> http://pixybox.seclab.tuwien.ac.at/pixy/index.php ed in particolare al
>>> >> paper di Kruegel&C. E' pieno di riferimenti interessanti per quanto
>>> >> riguarda l'analisi del codice PHP e XSS.
>>> >
>>> > A proposito di taint:
>>> > http://www.complang.tuwien.ac.at/anton/lvas/sem07w/papers/atesman.pdf
>>> > http://www.cs.virginia.edu/evans/pubs/infosec05.pdf
>>> > Questi due documenti mi sembrano un buon punto di partenza, che ne
>>> > pensate?
>>> >>
>>> >>
>>> >> /ikki
>>> >>
>>> >> 2009/3/25 Paolo Perego <thesp0nge at gmail.com>:
>>> >> > Alessio, ovviamente la mia era una battuta... ci mancherebbe altro.
>>> >> > Volentieri, ne possiamo discutere a Cracovia, ci sarai?
>>> >> >
>>> >> > Ciao ciao
>>> >> > Paolo
>>> >> >
>>> >> > 2009/3/25 Alessio Marziali <alessio.marziali at cyphersec.com>:
>>> >> >> Assolutamente no, in OWASP c'e' una regola ovvero quella
>>> >> >> d'integrare piu' progetti in unica soluzione per differenti
>>> >> >> motivi:
>>> >> >>
>>> >> >> 1) Business.
>>> >> >> Una soluzione, minori costi di sviluppo.
>>> >> >>
>>> >> >> 2) Mantainance.
>>> >> >> Il codice e' centralizzato e pertanto tempi e costi di bug
>>> >> >> fixing ridotti overtime.
>>> >> >>
>>> >> >> 3) Timing.
>>> >> >> Il time frame per sincronizzare Crawler/O2 e' sensibilmente
>>> >> >> minore a quello richiesto da Crawler ed Orizon.
>>> >> >>
>>> >> >> 4) Crawler non ha alcun tipo di riferimento ad Orizon.
>>> >> >>
>>> >> >> Detto questo, mi farebbe piacere discutere di come colmare
>>> >> >> il gap che c'e' tra i nostri due progetti ed unirli.
>>> >> >> L'architettura di Crawler e' stata disegnata per rendere
>>> >> >> possible l'integrazione di piu' engines su un unico
>>> >> >> front-end, non dimenticarlo.
>>> >> >>
>>> >> >> Regards,
>>> >> >> A.
>>> >> >>
>>> >> >> ----- Original Message -----
>>> >> >> Da : Paolo Perego <thesp0nge at gmail.com>
>>> >> >> A : Alessio Marziali <alessio.marziali at cyphersec.com>
>>> >> >> Cc: Dario Ghilardi <darioghilardi at gmail.com>,
>>> >> >> owasp-italy at lists.owasp.org
>>> >> >> Oggetto : Re: [Owasp-italy] Ciao...
>>> >> >> Data : Wed, 25 Mar 2009 15:26:49 +0100
>>> >> >>
>>> >> >>> 2009/3/25 Alessio Marziali
>>> >> >>> > <alessio.marziali at cyphersec.com>: 2) Una settimana fa ci
>>> >> >>> > siamo incontrati con Dinis Cruz qui a Londra ed insieme
>>> >> >>> > abbiamo preso la decisione di unire gli sforzi per
>>> >> >>> > "sincronizzare" OWASP Code Crawler con OWASP O2. Eoin
>>> >> >>> Keary ci ha dato il via libera da dublino Se riesci ad
>>> >> >>> avere qualche info in più sul formato CIR utilizzato per
>>> >> >>> la costruzione del modello sarebbe grandioso, è la parte
>>> >> >>> sulla quale sto faticando di più.
>>> >> >>>
>>> >> >>> > Successivamente a quanto detto, nella lunga road map che
>>> >> >>> > ci siamo fissati, sara' necessario rendere Crawler
>>> >> >>> > capace di "scansionare" codice PHP. Allo stesso tempo
>>> >> >>> > dovremmo rendere l'applicativo capace d'identificare
>>> >> >>> > vulnerabiita' XSS/CSRF questo indipendentemente dal
>>> >> >>> > linguaggio scritto [.NET/Java/PHP].
>>> >> >>> Cioè praticamente scrivi Orizon 2? :D
>>> >> >>>
>>> >> >>> Ciao ciao
>>> >> >>> Paolo
>>> >> >>>
>>> >> >>>
>>> >> >>> --
>>> >> >>> "stay hungry, stay foolish"
>>> >> >>>
>>> >> >>> OWASP Orizon project, http://orizon.sourceforge.net
>>> >> >>> "enjoy your code review experience"
>>> >> >>
>>> >> >
>>> >> >
>>> >> >
>>> >> > --
>>> >> > "stay hungry, stay foolish"
>>> >> >
>>> >> > OWASP Orizon project, http://orizon.sourceforge.net
>>> >> > "enjoy your code review experience"
>>> >> > _______________________________________________
>>> >> > Owasp-italy mailing list
>>> >> > Owasp-italy at lists.owasp.org
>>> >> > https://lists.owasp.org/mailman/listinfo/owasp-italy
>>> >> >
>>> >> _______________________________________________
>>> >> Owasp-italy mailing list
>>> >> Owasp-italy at lists.owasp.org
>>> >> https://lists.owasp.org/mailman/listinfo/owasp-italy
>>> >
>>> >
>>> >
>>> > --
>>> > ----------------------------------------------------------
>>> > Dario Ghilardi
>>> > gtalk: darioghilardi at gmail.com
>>> > msn: darioghilardi at hotmail.it
>>> > skype: nikolasarcevic
>>> > web: http://www.darioghilardi.com
>>> > mob: +39 338 6019721
>>> > ----------------------------------------------------------
>>> >
>>> >
>>> > _______________________________________________
>>> > Owasp-italy mailing list
>>> > Owasp-italy at lists.owasp.org
>>> > https://lists.owasp.org/mailman/listinfo/owasp-italy
>>> >
>>> >
>>> _______________________________________________
>>> Owasp-italy mailing list
>>> Owasp-italy at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-italy
>>
>>
>>
>> --
>> ----------------------------------------------------------
>> Dario Ghilardi
>> gtalk: darioghilardi at gmail.com
>> msn: darioghilardi at hotmail.it
>> skype: nikolasarcevic
>> web: http://www.darioghilardi.com
>> mob: +39 338 6019721
>> ----------------------------------------------------------
>>
>>
>> _______________________________________________
>> Owasp-italy mailing list
>> Owasp-italy at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-italy
>>
>
>
> _______________________________________________
> Owasp-italy mailing list
> Owasp-italy at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-italy
>
>



-- 
"stay hungry, stay foolish"

OWASP Orizon project, http://orizon.sourceforge.net
"enjoy your code review experience"


More information about the Owasp-italy mailing list