[Owasp-italy] Ciao...

Matteo Meucci matteo.meucci at owasp.org
Fri Mar 27 05:14:14 EDT 2009


Buongiorno a tutti,
visto che ci stiamo allontanando dal tema, direi che possiamo chiudere
questo thread o cercare di rispondere alla domanda iniziale in maniera
costruttiva.

Grazie,
Mat



2009/3/27 Alessio Marziali <alessio.marziali at cyphersec.com>

> T'insegno un segreto guarda le loro offerte di lavoro volpe. 10 anni che
> lavoro con NDA e credimi so cosa dire e cosa no.
>
> Parlare di problematiche reali e fare riferimenti a realta' esistenti e'
>  meglio che cercar di vendere "aria" (pratica comune direi).
> OWASP Code Crawler Project
> www.owasp.org
> www.cyphersec.com
>
> -----Original Message-----
> From: Daniele Bellucci <daniele.bellucci at gmail.com>
>
> Date: Thu, 26 Mar 2009 23:28:40
> To: <alessio.marziali at cyphersec.com>
> Cc: Paolo Perego<thesp0nge at gmail.com>; Open Web Application Security
> Project italian mailing list<owasp-italy at lists.owasp.org>
> Subject: Re: [Owasp-italy] Ciao...
>
>
> Era proprio necessario specificare i nomi dei clienti?
>
> 2009/3/26 Alessio Marziali <alessio.marziali at cyphersec.com>:
> > Posso capire il perche' di cobol nel rileggere una mail apparsa sulla
> code review mailing list.
> >
> > Capisco Java; ma non capisco il NO a quel gruppo di settori
> (finanziario/bancario per esempio) che basano il proprio business su
> linguaggi come C#/VB.NET?
> >
> > Paribas, MPS per esempio usano questo tipo di linguaggi in Italia.
> >
> > Perche' non implementarlo? Si potrebbe fare, Hai qualche FDD,
> Documentazione al formato richiesto dalla tua app?
> >
> > Ps - niente appsec e conF per me :/
> > OWASP Code Crawler Project
> > www.owasp.org
> > www.cyphersec.com
> >
> > -----Original Message-----
> > From: Paolo Perego <thesp0nge at gmail.com>
> >
> > Date: Thu, 26 Mar 2009 22:40:47
> > To: roberto battistoni<rbattistoni at acm.org>
> > Cc: Owasp Italia<owasp-italy at lists.owasp.org>
> > Subject: Re: [Owasp-italy] Ciao...
> >
> >
> > Ciao Roberto, sì Orizon è un SAST. Può essere utilizzato sia come
> > motore all'interno di altre applicazioni che come standalone tool.
> > Orizon non è pensato per scannare un linguaggio specifico. Sono stati
> > previsti "Language pack" dove partendo da una grammatica BNF e freecc
> > viene costruito un parser per il linguaggio ed un collettore che aiuta
> > il motore di modeling.
> > Ho fatto vedere oggi al SecuritySummit una piccola demo. Orizon al
> > momento è in grado di fare il parse del codice di wordpress per il 40%
> > (la grammatica per PHP non è un granché) e per ora è attivo il modulo
> > di crawling Twilight, il motore di analisi statica vero e propria è in
> > corso di ristrutturazione.
> > A breve verranno aggiunti i language pack per C, COBOL e Java.
> >
> > Domani pensavo di pubblicare le slide dello speech di oggi ed una
> > piccola demo... magari chi è interessato può contattarmi.
> > Ciao ciao
> >
> > Paolo
> >
> > 2009/3/26 roberto battistoni <rbattistoni at acm.org>:
> >> Quindi il tuo scanner tecnicamente è quello che si chiama un Dynamic
> Code
> >> Analyzer :-)
> >>
> >> Pixy, come del resto SCA Fortify e anche CodeCrawler, invece appartiene
> alla
> >> famiglia degli Static Source Code Analyzer. Questi ultimi analizzano il
> >> codice senza eseguirlo, interpretandolo in qualche modo (ricerca di
> >> stringhe, compilazione in un linguaggio intermedio orientato all'analisi
> di
> >> sicurezza) e riconoscendo eventuali pattern di possibili vulnerabilità.
> Se
> >> non sbaglio anche Orizon appartiene alla stessa famiglia.
> >>
> >> Se taint richiede l'esecuzione del codice allora mi viene da pensare che
> >> differisca parecchio da Pixy almeno nell'approccio. Ma non conosco Taint
> >>
> >> 2009/3/26 Dario Ghilardi <darioghilardi at gmail.com>
> >>>
> >>> Il giorno 26 marzo 2009 13.20, antonio parata <aparata at gmail.com> ha
> >>> scritto:
> >>>>
> >>>> Ciao all,
> >>>>
> >>>> visto che siamo in tema di analisi statica annuncio che anche io sto
> >>>> sviluppando un tool per PHP (nome in codice Codeminer) che dovrei
> >>>> rilasciare (versione beta non supportante l'OOP) entro aprile. Dario
> >>>> (and all) se sei interessato potrei inviarti una copia quando sarà
> >>>> pronto, un tester in più fa sempre bene :P
> >>>
> >>> Volentieri.
> >>>
> >>> Vi chiedo un po di chiarimenti:
> >>> Pixy è un tool di analisi statica, il mio non lo è perchè sfrutta il
> >>> funzionamento di Drupal al fine di trovare le vulnerabilità iniettando
> una
> >>> stringa xss in ogni text field e textarea di ogni form e poi andandola
> a
> >>> cercare quando verrà mostrata non filtrata.
> >>> Pixy non fa la stessa cosa, analizza il codice senza eseguirlo e
>  verifica
> >>> quando una variabile non viene filtrata prima di essere usata fornendo
> un
> >>> report. Sono due approcci diversi, infatti il mio security scanner non
> trova
> >>> vulnerabilità SQL injection ad esempio, perchè esse non comunicano
> nulla.
> >>> Quindi a prima vista Pixy sembra essere molto più completo.
> >>> Qualcuno vuole aggiungere qualcosa?
> >>> Ora però mi resta da capire in cosa differisce taint da pixy (so che
> >>> esiste taint php ed ho provato a vedere come funziona ma mi sembra
> pressochè
> >>> la stessa cosa, tranne per il fatto che i warning vengono mostrati
> durante
> >>> l'esecuzione).
> >>> Ciao,
> >>> Dario
> >>>>
> >>>> Ciao,
> >>>> s4tan
> >>>>
> >>>> 2009/3/26 Dario Ghilardi <darioghilardi at gmail.com>:
> >>>> > Il giorno 26 marzo 2009 11.44, Luca Carettoni
> >>>> > <luca.carettoni at ikkisoft.com>
> >>>> > ha scritto:
> >>>> >>
> >>>> >> Forse mi sono perso, ma mi sembra che Dario parlava di un blackbox
> >>>> >> scanner e non di un tool per l'analisi statica del codice.
> >>>> >
> >>>> > Direi che l'obiettivo primario è continuare il lavoro sullo scanner
> già
> >>>> > realizzato, ma anche qualche idea sull'analisi statica del codice
> può
> >>>> > essere
> >>>> > aggiunta ad un altro modulo che effettua già ricerca di pattern XSS.
> >>>> >
> >>>> >>
> >>>> >> Comunque sia, consiglio di dare un occhio a
> >>>> >> http://pixybox.seclab.tuwien.ac.at/pixy/index.php ed in
> particolare al
> >>>> >> paper di Kruegel&C. E' pieno di riferimenti interessanti per quanto
> >>>> >> riguarda l'analisi del codice PHP e XSS.
> >>>> >
> >>>> > A proposito di taint:
> >>>> >
> http://www.complang.tuwien.ac.at/anton/lvas/sem07w/papers/atesman.pdf
> >>>> > http://www.cs.virginia.edu/evans/pubs/infosec05.pdf
> >>>> > Questi due documenti mi sembrano un buon punto di partenza, che ne
> >>>> > pensate?
> >>>> >>
> >>>> >>
> >>>> >> /ikki
> >>>> >>
> >>>> >> 2009/3/25 Paolo Perego <thesp0nge at gmail.com>:
> >>>> >> > Alessio, ovviamente la mia era una battuta... ci mancherebbe
> altro.
> >>>> >> > Volentieri, ne possiamo discutere a Cracovia, ci sarai?
> >>>> >> >
> >>>> >> > Ciao ciao
> >>>> >> > Paolo
> >>>> >> >
> >>>> >> > 2009/3/25 Alessio Marziali <alessio.marziali at cyphersec.com>:
> >>>> >> >> Assolutamente no, in OWASP c'e' una regola ovvero quella
> >>>> >> >> d'integrare piu' progetti in unica soluzione per differenti
> >>>> >> >> motivi:
> >>>> >> >>
> >>>> >> >> 1) Business.
> >>>> >> >> Una soluzione, minori costi di sviluppo.
> >>>> >> >>
> >>>> >> >> 2) Mantainance.
> >>>> >> >> Il codice e' centralizzato e pertanto tempi e costi di bug
> >>>> >> >> fixing ridotti overtime.
> >>>> >> >>
> >>>> >> >> 3) Timing.
> >>>> >> >> Il time frame per sincronizzare Crawler/O2 e' sensibilmente
> >>>> >> >> minore a quello richiesto da Crawler ed Orizon.
> >>>> >> >>
> >>>> >> >> 4) Crawler non ha alcun tipo di riferimento ad Orizon.
> >>>> >> >>
> >>>> >> >> Detto questo, mi farebbe piacere discutere di come colmare
> >>>> >> >> il gap che c'e' tra i nostri due progetti ed unirli.
> >>>> >> >> L'architettura di Crawler e' stata disegnata per rendere
> >>>> >> >> possible l'integrazione di piu' engines su un unico
> >>>> >> >> front-end, non dimenticarlo.
> >>>> >> >>
> >>>> >> >> Regards,
> >>>> >> >> A.
> >>>> >> >>
> >>>> >> >> ----- Original Message -----
> >>>> >> >> Da : Paolo Perego <thesp0nge at gmail.com>
> >>>> >> >> A : Alessio Marziali <alessio.marziali at cyphersec.com>
> >>>> >> >> Cc: Dario Ghilardi <darioghilardi at gmail.com>,
> >>>> >> >> owasp-italy at lists.owasp.org
> >>>> >> >> Oggetto : Re: [Owasp-italy] Ciao...
> >>>> >> >> Data : Wed, 25 Mar 2009 15:26:49 +0100
> >>>> >> >>
> >>>> >> >>> 2009/3/25 Alessio Marziali
> >>>> >> >>> > <alessio.marziali at cyphersec.com>: 2) Una settimana fa ci
> >>>> >> >>> > siamo incontrati con Dinis Cruz qui a Londra ed insieme
> >>>> >> >>> > abbiamo preso la decisione di unire gli sforzi per
> >>>> >> >>> > "sincronizzare" OWASP Code Crawler con OWASP O2. Eoin
> >>>> >> >>> Keary ci ha dato il via libera da dublino Se riesci ad
> >>>> >> >>> avere qualche info in più sul formato CIR utilizzato per
> >>>> >> >>> la costruzione del modello sarebbe grandioso, è la parte
> >>>> >> >>> sulla quale sto faticando di più.
> >>>> >> >>>
> >>>> >> >>> > Successivamente a quanto detto, nella lunga road map che
> >>>> >> >>> > ci siamo fissati, sara' necessario rendere Crawler
> >>>> >> >>> > capace di "scansionare" codice PHP. Allo stesso tempo
> >>>> >> >>> > dovremmo rendere l'applicativo capace d'identificare
> >>>> >> >>> > vulnerabiita' XSS/CSRF questo indipendentemente dal
> >>>> >> >>> > linguaggio scritto [.NET/Java/PHP].
> >>>> >> >>> Cioè praticamente scrivi Orizon 2? :D
> >>>> >> >>>
> >>>> >> >>> Ciao ciao
> >>>> >> >>> Paolo
> >>>> >> >>>
> >>>> >> >>>
> >>>> >> >>> --
> >>>> >> >>> "stay hungry, stay foolish"
> >>>> >> >>>
> >>>> >> >>> OWASP Orizon project, http://orizon.sourceforge.net
> >>>> >> >>> "enjoy your code review experience"
> >>>> >> >>
> >>>> >> >
> >>>> >> >
> >>>> >> >
> >>>> >> > --
> >>>> >> > "stay hungry, stay foolish"
> >>>> >> >
> >>>> >> > OWASP Orizon project, http://orizon.sourceforge.net
> >>>> >> > "enjoy your code review experience"
> >>>> >> >_______________________________________________
> >>>> >> > Owasp-italy mailing list
> >>>> >> > Owasp-italy at lists.owasp.org
> >>>> >> > https://lists.owasp.org/mailman/listinfo/owasp-italy
> >>>> >> >
> >>>> >>_______________________________________________
> >>>> >> Owasp-italy mailing list
> >>>> >> Owasp-italy at lists.owasp.org
> >>>> >> https://lists.owasp.org/mailman/listinfo/owasp-italy
> >>>> >
> >>>> >
> >>>> >
> >>>> > --
> >>>> > ----------------------------------------------------------
> >>>> > Dario Ghilardi
> >>>> > gtalk: darioghilardi at gmail.com
> >>>> > msn: darioghilardi at hotmail.it
> >>>> > skype: nikolasarcevic
> >>>> > web: http://www.darioghilardi.com
> >>>> > mob: +39 338 6019721
> >>>> > ----------------------------------------------------------
> >>>> >
> >>>> >
> >>>> >_______________________________________________
> >>>> > Owasp-italy mailing list
> >>>> > Owasp-italy at lists.owasp.org
> >>>> > https://lists.owasp.org/mailman/listinfo/owasp-italy
> >>>> >
> >>>> >
> >>>>_______________________________________________
> >>>> Owasp-italy mailing list
> >>>> Owasp-italy at lists.owasp.org
> >>>> https://lists.owasp.org/mailman/listinfo/owasp-italy
> >>>
> >>>
> >>>
> >>> --
> >>> ----------------------------------------------------------
> >>> Dario Ghilardi
> >>> gtalk: darioghilardi at gmail.com
> >>> msn: darioghilardi at hotmail.it
> >>> skype: nikolasarcevic
> >>> web: http://www.darioghilardi.com
> >>> mob: +39 338 6019721
> >>> ----------------------------------------------------------
> >>>
> >>>
> >>>_______________________________________________
> >>> Owasp-italy mailing list
> >>> Owasp-italy at lists.owasp.org
> >>> https://lists.owasp.org/mailman/listinfo/owasp-italy
> >>>
> >>
> >>
> >>_______________________________________________
> >> Owasp-italy mailing list
> >> Owasp-italy at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-italy
> >>
> >>
> >
> >
> >
> > --
> > "stay hungry, stay foolish"
> >
> > OWASP Orizon project, http://orizon.sourceforge.net
> > "enjoy your code review experience"
> >_______________________________________________
> > Owasp-italy mailing list
> > Owasp-italy at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-italy
> >
> >_______________________________________________
> > Owasp-italy mailing list
> > Owasp-italy at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-italy
> >
>
> _______________________________________________
> Owasp-italy mailing list
> Owasp-italy at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-italy
>



-- 
Matteo Meucci
OWASP-Italy Chair, CISSP, CISA
http://www.owasp.org/index.php/Italy
OWASP Testing Guide lead
http://www.owasp.org/index.php/Testing_Guide
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-italy/attachments/20090327/14008b3e/attachment-0001.html 


More information about the Owasp-italy mailing list