[Owasp-italy] Ciao...

Daniele Bellucci daniele.bellucci at gmail.com
Thu Mar 26 18:28:40 EDT 2009


Era proprio necessario specificare i nomi dei clienti?

2009/3/26 Alessio Marziali <alessio.marziali at cyphersec.com>:
> Posso capire il perche' di cobol nel rileggere una mail apparsa sulla code review mailing list.
>
> Capisco Java; ma non capisco il NO a quel gruppo di settori (finanziario/bancario per esempio) che basano il proprio business su linguaggi come C#/VB.NET?
>
> Paribas, MPS per esempio usano questo tipo di linguaggi in Italia.
>
> Perche' non implementarlo? Si potrebbe fare, Hai qualche FDD, Documentazione al formato richiesto dalla tua app?
>
> Ps - niente appsec e conF per me :/
> OWASP Code Crawler Project
> www.owasp.org
> www.cyphersec.com
>
> -----Original Message-----
> From: Paolo Perego <thesp0nge at gmail.com>
>
> Date: Thu, 26 Mar 2009 22:40:47
> To: roberto battistoni<rbattistoni at acm.org>
> Cc: Owasp Italia<owasp-italy at lists.owasp.org>
> Subject: Re: [Owasp-italy] Ciao...
>
>
> Ciao Roberto, sì Orizon è un SAST. Può essere utilizzato sia come
> motore all'interno di altre applicazioni che come standalone tool.
> Orizon non è pensato per scannare un linguaggio specifico. Sono stati
> previsti "Language pack" dove partendo da una grammatica BNF e freecc
> viene costruito un parser per il linguaggio ed un collettore che aiuta
> il motore di modeling.
> Ho fatto vedere oggi al SecuritySummit una piccola demo. Orizon al
> momento è in grado di fare il parse del codice di wordpress per il 40%
> (la grammatica per PHP non è un granché) e per ora è attivo il modulo
> di crawling Twilight, il motore di analisi statica vero e propria è in
> corso di ristrutturazione.
> A breve verranno aggiunti i language pack per C, COBOL e Java.
>
> Domani pensavo di pubblicare le slide dello speech di oggi ed una
> piccola demo... magari chi è interessato può contattarmi.
> Ciao ciao
>
> Paolo
>
> 2009/3/26 roberto battistoni <rbattistoni at acm.org>:
>> Quindi il tuo scanner tecnicamente è quello che si chiama un Dynamic Code
>> Analyzer :-)
>>
>> Pixy, come del resto SCA Fortify e anche CodeCrawler, invece appartiene alla
>> famiglia degli Static Source Code Analyzer. Questi ultimi analizzano il
>> codice senza eseguirlo, interpretandolo in qualche modo (ricerca di
>> stringhe, compilazione in un linguaggio intermedio orientato all'analisi di
>> sicurezza) e riconoscendo eventuali pattern di possibili vulnerabilità. Se
>> non sbaglio anche Orizon appartiene alla stessa famiglia.
>>
>> Se taint richiede l'esecuzione del codice allora mi viene da pensare che
>> differisca parecchio da Pixy almeno nell'approccio. Ma non conosco Taint
>>
>> 2009/3/26 Dario Ghilardi <darioghilardi at gmail.com>
>>>
>>> Il giorno 26 marzo 2009 13.20, antonio parata <aparata at gmail.com> ha
>>> scritto:
>>>>
>>>> Ciao all,
>>>>
>>>> visto che siamo in tema di analisi statica annuncio che anche io sto
>>>> sviluppando un tool per PHP (nome in codice Codeminer) che dovrei
>>>> rilasciare (versione beta non supportante l'OOP) entro aprile. Dario
>>>> (and all) se sei interessato potrei inviarti una copia quando sarà
>>>> pronto, un tester in più fa sempre bene :P
>>>
>>> Volentieri.
>>>
>>> Vi chiedo un po di chiarimenti:
>>> Pixy è un tool di analisi statica, il mio non lo è perchè sfrutta il
>>> funzionamento di Drupal al fine di trovare le vulnerabilità iniettando una
>>> stringa xss in ogni text field e textarea di ogni form e poi andandola a
>>> cercare quando verrà mostrata non filtrata.
>>> Pixy non fa la stessa cosa, analizza il codice senza eseguirlo e  verifica
>>> quando una variabile non viene filtrata prima di essere usata fornendo un
>>> report. Sono due approcci diversi, infatti il mio security scanner non trova
>>> vulnerabilità SQL injection ad esempio, perchè esse non comunicano nulla.
>>> Quindi a prima vista Pixy sembra essere molto più completo.
>>> Qualcuno vuole aggiungere qualcosa?
>>> Ora però mi resta da capire in cosa differisce taint da pixy (so che
>>> esiste taint php ed ho provato a vedere come funziona ma mi sembra pressochè
>>> la stessa cosa, tranne per il fatto che i warning vengono mostrati durante
>>> l'esecuzione).
>>> Ciao,
>>> Dario
>>>>
>>>> Ciao,
>>>> s4tan
>>>>
>>>> 2009/3/26 Dario Ghilardi <darioghilardi at gmail.com>:
>>>> > Il giorno 26 marzo 2009 11.44, Luca Carettoni
>>>> > <luca.carettoni at ikkisoft.com>
>>>> > ha scritto:
>>>> >>
>>>> >> Forse mi sono perso, ma mi sembra che Dario parlava di un blackbox
>>>> >> scanner e non di un tool per l'analisi statica del codice.
>>>> >
>>>> > Direi che l'obiettivo primario è continuare il lavoro sullo scanner già
>>>> > realizzato, ma anche qualche idea sull'analisi statica del codice può
>>>> > essere
>>>> > aggiunta ad un altro modulo che effettua già ricerca di pattern XSS.
>>>> >
>>>> >>
>>>> >> Comunque sia, consiglio di dare un occhio a
>>>> >> http://pixybox.seclab.tuwien.ac.at/pixy/index.php ed in particolare al
>>>> >> paper di Kruegel&C. E' pieno di riferimenti interessanti per quanto
>>>> >> riguarda l'analisi del codice PHP e XSS.
>>>> >
>>>> > A proposito di taint:
>>>> > http://www.complang.tuwien.ac.at/anton/lvas/sem07w/papers/atesman.pdf
>>>> > http://www.cs.virginia.edu/evans/pubs/infosec05.pdf
>>>> > Questi due documenti mi sembrano un buon punto di partenza, che ne
>>>> > pensate?
>>>> >>
>>>> >>
>>>> >> /ikki
>>>> >>
>>>> >> 2009/3/25 Paolo Perego <thesp0nge at gmail.com>:
>>>> >> > Alessio, ovviamente la mia era una battuta... ci mancherebbe altro.
>>>> >> > Volentieri, ne possiamo discutere a Cracovia, ci sarai?
>>>> >> >
>>>> >> > Ciao ciao
>>>> >> > Paolo
>>>> >> >
>>>> >> > 2009/3/25 Alessio Marziali <alessio.marziali at cyphersec.com>:
>>>> >> >> Assolutamente no, in OWASP c'e' una regola ovvero quella
>>>> >> >> d'integrare piu' progetti in unica soluzione per differenti
>>>> >> >> motivi:
>>>> >> >>
>>>> >> >> 1) Business.
>>>> >> >> Una soluzione, minori costi di sviluppo.
>>>> >> >>
>>>> >> >> 2) Mantainance.
>>>> >> >> Il codice e' centralizzato e pertanto tempi e costi di bug
>>>> >> >> fixing ridotti overtime.
>>>> >> >>
>>>> >> >> 3) Timing.
>>>> >> >> Il time frame per sincronizzare Crawler/O2 e' sensibilmente
>>>> >> >> minore a quello richiesto da Crawler ed Orizon.
>>>> >> >>
>>>> >> >> 4) Crawler non ha alcun tipo di riferimento ad Orizon.
>>>> >> >>
>>>> >> >> Detto questo, mi farebbe piacere discutere di come colmare
>>>> >> >> il gap che c'e' tra i nostri due progetti ed unirli.
>>>> >> >> L'architettura di Crawler e' stata disegnata per rendere
>>>> >> >> possible l'integrazione di piu' engines su un unico
>>>> >> >> front-end, non dimenticarlo.
>>>> >> >>
>>>> >> >> Regards,
>>>> >> >> A.
>>>> >> >>
>>>> >> >> ----- Original Message -----
>>>> >> >> Da : Paolo Perego <thesp0nge at gmail.com>
>>>> >> >> A : Alessio Marziali <alessio.marziali at cyphersec.com>
>>>> >> >> Cc: Dario Ghilardi <darioghilardi at gmail.com>,
>>>> >> >> owasp-italy at lists.owasp.org
>>>> >> >> Oggetto : Re: [Owasp-italy] Ciao...
>>>> >> >> Data : Wed, 25 Mar 2009 15:26:49 +0100
>>>> >> >>
>>>> >> >>> 2009/3/25 Alessio Marziali
>>>> >> >>> > <alessio.marziali at cyphersec.com>: 2) Una settimana fa ci
>>>> >> >>> > siamo incontrati con Dinis Cruz qui a Londra ed insieme
>>>> >> >>> > abbiamo preso la decisione di unire gli sforzi per
>>>> >> >>> > "sincronizzare" OWASP Code Crawler con OWASP O2. Eoin
>>>> >> >>> Keary ci ha dato il via libera da dublino Se riesci ad
>>>> >> >>> avere qualche info in più sul formato CIR utilizzato per
>>>> >> >>> la costruzione del modello sarebbe grandioso, è la parte
>>>> >> >>> sulla quale sto faticando di più.
>>>> >> >>>
>>>> >> >>> > Successivamente a quanto detto, nella lunga road map che
>>>> >> >>> > ci siamo fissati, sara' necessario rendere Crawler
>>>> >> >>> > capace di "scansionare" codice PHP. Allo stesso tempo
>>>> >> >>> > dovremmo rendere l'applicativo capace d'identificare
>>>> >> >>> > vulnerabiita' XSS/CSRF questo indipendentemente dal
>>>> >> >>> > linguaggio scritto [.NET/Java/PHP].
>>>> >> >>> Cioè praticamente scrivi Orizon 2? :D
>>>> >> >>>
>>>> >> >>> Ciao ciao
>>>> >> >>> Paolo
>>>> >> >>>
>>>> >> >>>
>>>> >> >>> --
>>>> >> >>> "stay hungry, stay foolish"
>>>> >> >>>
>>>> >> >>> OWASP Orizon project, http://orizon.sourceforge.net
>>>> >> >>> "enjoy your code review experience"
>>>> >> >>
>>>> >> >
>>>> >> >
>>>> >> >
>>>> >> > --
>>>> >> > "stay hungry, stay foolish"
>>>> >> >
>>>> >> > OWASP Orizon project, http://orizon.sourceforge.net
>>>> >> > "enjoy your code review experience"
>>>> >> >_______________________________________________
>>>> >> > Owasp-italy mailing list
>>>> >> > Owasp-italy at lists.owasp.org
>>>> >> > https://lists.owasp.org/mailman/listinfo/owasp-italy
>>>> >> >
>>>> >>_______________________________________________
>>>> >> Owasp-italy mailing list
>>>> >> Owasp-italy at lists.owasp.org
>>>> >> https://lists.owasp.org/mailman/listinfo/owasp-italy
>>>> >
>>>> >
>>>> >
>>>> > --
>>>> > ----------------------------------------------------------
>>>> > Dario Ghilardi
>>>> > gtalk: darioghilardi at gmail.com
>>>> > msn: darioghilardi at hotmail.it
>>>> > skype: nikolasarcevic
>>>> > web: http://www.darioghilardi.com
>>>> > mob: +39 338 6019721
>>>> > ----------------------------------------------------------
>>>> >
>>>> >
>>>> >_______________________________________________
>>>> > Owasp-italy mailing list
>>>> > Owasp-italy at lists.owasp.org
>>>> > https://lists.owasp.org/mailman/listinfo/owasp-italy
>>>> >
>>>> >
>>>>_______________________________________________
>>>> Owasp-italy mailing list
>>>> Owasp-italy at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-italy
>>>
>>>
>>>
>>> --
>>> ----------------------------------------------------------
>>> Dario Ghilardi
>>> gtalk: darioghilardi at gmail.com
>>> msn: darioghilardi at hotmail.it
>>> skype: nikolasarcevic
>>> web: http://www.darioghilardi.com
>>> mob: +39 338 6019721
>>> ----------------------------------------------------------
>>>
>>>
>>>_______________________________________________
>>> Owasp-italy mailing list
>>> Owasp-italy at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-italy
>>>
>>
>>
>>_______________________________________________
>> Owasp-italy mailing list
>> Owasp-italy at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-italy
>>
>>
>
>
>
> --
> "stay hungry, stay foolish"
>
> OWASP Orizon project, http://orizon.sourceforge.net
> "enjoy your code review experience"
> _______________________________________________
> Owasp-italy mailing list
> Owasp-italy at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-italy
>
> _______________________________________________
> Owasp-italy mailing list
> Owasp-italy at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-italy
>


More information about the Owasp-italy mailing list