<div>Il giorno 26 marzo 2009 13.20, antonio parata <span dir="ltr">&lt;<a href="mailto:aparata@gmail.com">aparata@gmail.com</a>&gt;</span> ha scritto:<br><blockquote class="gmail_quote" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex; ">
Ciao all,<br><br>visto che siamo in tema di analisi statica annuncio che anche io sto<br>sviluppando un tool per PHP (nome in codice Codeminer) che dovrei<br>rilasciare (versione beta non supportante l&#39;OOP) entro aprile. Dario<br>
(and all) se sei interessato potrei inviarti una copia quando sarà<br>pronto, un tester in più fa sempre bene :P<br></blockquote><div><br></div><div>Volentieri.</div><div><br></div><div><br></div></div><div>Vi chiedo un po di chiarimenti:</div>
<div>Pixy è un tool di analisi statica, il mio non lo è perchè sfrutta il funzionamento di Drupal al fine di trovare le vulnerabilità iniettando una stringa xss in ogni text field e textarea di ogni form e poi andandola a cercare quando verrà mostrata non filtrata.</div>
<div>Pixy non fa la stessa cosa, analizza il codice senza eseguirlo e  verifica quando una variabile non viene filtrata prima di essere usata fornendo un report. Sono due approcci diversi, infatti il mio security scanner non trova vulnerabilità SQL injection ad esempio, perchè esse non comunicano nulla. Quindi a prima vista Pixy sembra essere molto più completo.</div>
<div>Qualcuno vuole aggiungere qualcosa?</div><div><br></div><div>Ora però mi resta da capire in cosa differisce taint da pixy (so che esiste taint php ed ho provato a vedere come funziona ma mi sembra pressochè la stessa cosa, tranne per il fatto che i warning vengono mostrati durante l&#39;esecuzione).</div>
<div>Ciao,</div><div>Dario</div><div><br></div><div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
Ciao,<br>
s4tan<br>
<br>
2009/3/26 Dario Ghilardi &lt;<a href="mailto:darioghilardi@gmail.com">darioghilardi@gmail.com</a>&gt;:<br>
<div><div></div><div class="h5">&gt; Il giorno 26 marzo 2009 11.44, Luca Carettoni &lt;<a href="mailto:luca.carettoni@ikkisoft.com">luca.carettoni@ikkisoft.com</a>&gt;<br>
&gt; ha scritto:<br>
&gt;&gt;<br>
&gt;&gt; Forse mi sono perso, ma mi sembra che Dario parlava di un blackbox<br>
&gt;&gt; scanner e non di un tool per l&#39;analisi statica del codice.<br>
&gt;<br>
&gt; Direi che l&#39;obiettivo primario è continuare il lavoro sullo scanner già<br>
&gt; realizzato, ma anche qualche idea sull&#39;analisi statica del codice può essere<br>
&gt; aggiunta ad un altro modulo che effettua già ricerca di pattern XSS.<br>
&gt;<br>
&gt;&gt;<br>
&gt;&gt; Comunque sia, consiglio di dare un occhio a<br>
&gt;&gt; <a href="http://pixybox.seclab.tuwien.ac.at/pixy/index.php" target="_blank">http://pixybox.seclab.tuwien.ac.at/pixy/index.php</a> ed in particolare al<br>
&gt;&gt; paper di Kruegel&amp;C. E&#39; pieno di riferimenti interessanti per quanto<br>
&gt;&gt; riguarda l&#39;analisi del codice PHP e XSS.<br>
&gt;<br>
&gt; A proposito di taint:<br>
&gt; <a href="http://www.complang.tuwien.ac.at/anton/lvas/sem07w/papers/atesman.pdf" target="_blank">http://www.complang.tuwien.ac.at/anton/lvas/sem07w/papers/atesman.pdf</a><br>
&gt; <a href="http://www.cs.virginia.edu/evans/pubs/infosec05.pdf" target="_blank">http://www.cs.virginia.edu/evans/pubs/infosec05.pdf</a><br>
&gt; Questi due documenti mi sembrano un buon punto di partenza, che ne pensate?<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; /ikki<br>
&gt;&gt;<br>
&gt;&gt; 2009/3/25 Paolo Perego &lt;<a href="mailto:thesp0nge@gmail.com">thesp0nge@gmail.com</a>&gt;:<br>
&gt;&gt; &gt; Alessio, ovviamente la mia era una battuta... ci mancherebbe altro.<br>
&gt;&gt; &gt; Volentieri, ne possiamo discutere a Cracovia, ci sarai?<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; Ciao ciao<br>
&gt;&gt; &gt; Paolo<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; 2009/3/25 Alessio Marziali &lt;<a href="mailto:alessio.marziali@cyphersec.com">alessio.marziali@cyphersec.com</a>&gt;:<br>
&gt;&gt; &gt;&gt; Assolutamente no, in OWASP c&#39;e&#39; una regola ovvero quella<br>
&gt;&gt; &gt;&gt; d&#39;integrare piu&#39; progetti in unica soluzione per differenti<br>
&gt;&gt; &gt;&gt; motivi:<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; 1) Business.<br>
&gt;&gt; &gt;&gt; Una soluzione, minori costi di sviluppo.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; 2) Mantainance.<br>
&gt;&gt; &gt;&gt; Il codice e&#39; centralizzato e pertanto tempi e costi di bug<br>
&gt;&gt; &gt;&gt; fixing ridotti overtime.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; 3) Timing.<br>
&gt;&gt; &gt;&gt; Il time frame per sincronizzare Crawler/O2 e&#39; sensibilmente<br>
&gt;&gt; &gt;&gt; minore a quello richiesto da Crawler ed Orizon.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; 4) Crawler non ha alcun tipo di riferimento ad Orizon.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; Detto questo, mi farebbe piacere discutere di come colmare<br>
&gt;&gt; &gt;&gt; il gap che c&#39;e&#39; tra i nostri due progetti ed unirli.<br>
&gt;&gt; &gt;&gt; L&#39;architettura di Crawler e&#39; stata disegnata per rendere<br>
&gt;&gt; &gt;&gt; possible l&#39;integrazione di piu&#39; engines su un unico<br>
&gt;&gt; &gt;&gt; front-end, non dimenticarlo.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; Regards,<br>
&gt;&gt; &gt;&gt; A.<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; ----- Original Message -----<br>
&gt;&gt; &gt;&gt; Da : Paolo Perego &lt;<a href="mailto:thesp0nge@gmail.com">thesp0nge@gmail.com</a>&gt;<br>
&gt;&gt; &gt;&gt; A : Alessio Marziali &lt;<a href="mailto:alessio.marziali@cyphersec.com">alessio.marziali@cyphersec.com</a>&gt;<br>
&gt;&gt; &gt;&gt; Cc: Dario Ghilardi &lt;<a href="mailto:darioghilardi@gmail.com">darioghilardi@gmail.com</a>&gt;,<br>
&gt;&gt; &gt;&gt; <a href="mailto:owasp-italy@lists.owasp.org">owasp-italy@lists.owasp.org</a><br>
&gt;&gt; &gt;&gt; Oggetto : Re: [Owasp-italy] Ciao...<br>
&gt;&gt; &gt;&gt; Data : Wed, 25 Mar 2009 15:26:49 +0100<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; 2009/3/25 Alessio Marziali<br>
&gt;&gt; &gt;&gt;&gt; &gt; &lt;<a href="mailto:alessio.marziali@cyphersec.com">alessio.marziali@cyphersec.com</a>&gt;: 2) Una settimana fa ci<br>
&gt;&gt; &gt;&gt;&gt; &gt; siamo incontrati con Dinis Cruz qui a Londra ed insieme<br>
&gt;&gt; &gt;&gt;&gt; &gt; abbiamo preso la decisione di unire gli sforzi per<br>
&gt;&gt; &gt;&gt;&gt; &gt; &quot;sincronizzare&quot; OWASP Code Crawler con OWASP O2. Eoin<br>
&gt;&gt; &gt;&gt;&gt; Keary ci ha dato il via libera da dublino Se riesci ad<br>
&gt;&gt; &gt;&gt;&gt; avere qualche info in più sul formato CIR utilizzato per<br>
&gt;&gt; &gt;&gt;&gt; la costruzione del modello sarebbe grandioso, è la parte<br>
&gt;&gt; &gt;&gt;&gt; sulla quale sto faticando di più.<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; &gt; Successivamente a quanto detto, nella lunga road map che<br>
&gt;&gt; &gt;&gt;&gt; &gt; ci siamo fissati, sara&#39; necessario rendere Crawler<br>
&gt;&gt; &gt;&gt;&gt; &gt; capace di &quot;scansionare&quot; codice PHP. Allo stesso tempo<br>
&gt;&gt; &gt;&gt;&gt; &gt; dovremmo rendere l&#39;applicativo capace d&#39;identificare<br>
&gt;&gt; &gt;&gt;&gt; &gt; vulnerabiita&#39; XSS/CSRF questo indipendentemente dal<br>
&gt;&gt; &gt;&gt;&gt; &gt; linguaggio scritto [.NET/Java/PHP].<br>
&gt;&gt; &gt;&gt;&gt; Cioè praticamente scrivi Orizon 2? :D<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; Ciao ciao<br>
&gt;&gt; &gt;&gt;&gt; Paolo<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; --<br>
&gt;&gt; &gt;&gt;&gt; &quot;stay hungry, stay foolish&quot;<br>
&gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt;&gt; OWASP Orizon project, <a href="http://orizon.sourceforge.net" target="_blank">http://orizon.sourceforge.net</a><br>
&gt;&gt; &gt;&gt;&gt; &quot;enjoy your code review experience&quot;<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; --<br>
&gt;&gt; &gt; &quot;stay hungry, stay foolish&quot;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; OWASP Orizon project, <a href="http://orizon.sourceforge.net" target="_blank">http://orizon.sourceforge.net</a><br>
&gt;&gt; &gt; &quot;enjoy your code review experience&quot;<br>
&gt;&gt; &gt; _______________________________________________<br>
&gt;&gt; &gt; Owasp-italy mailing list<br>
&gt;&gt; &gt; <a href="mailto:Owasp-italy@lists.owasp.org">Owasp-italy@lists.owasp.org</a><br>
&gt;&gt; &gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-italy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-italy</a><br>
&gt;&gt; &gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; Owasp-italy mailing list<br>
&gt;&gt; <a href="mailto:Owasp-italy@lists.owasp.org">Owasp-italy@lists.owasp.org</a><br>
&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-italy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-italy</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; ----------------------------------------------------------<br>
&gt; Dario Ghilardi<br>
&gt; gtalk: <a href="mailto:darioghilardi@gmail.com">darioghilardi@gmail.com</a><br>
&gt; msn: <a href="mailto:darioghilardi@hotmail.it">darioghilardi@hotmail.it</a><br>
&gt; skype: nikolasarcevic<br>
&gt; web: <a href="http://www.darioghilardi.com" target="_blank">http://www.darioghilardi.com</a><br>
&gt; mob: +39 338 6019721<br>
&gt; ----------------------------------------------------------<br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; Owasp-italy mailing list<br>
&gt; <a href="mailto:Owasp-italy@lists.owasp.org">Owasp-italy@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-italy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-italy</a><br>
&gt;<br>
&gt;<br>
_______________________________________________<br>
Owasp-italy mailing list<br>
<a href="mailto:Owasp-italy@lists.owasp.org">Owasp-italy@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-italy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-italy</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>----------------------------------------------------------<br>Dario Ghilardi<br>gtalk: <a href="mailto:darioghilardi@gmail.com">darioghilardi@gmail.com</a><br>
msn: <a href="mailto:darioghilardi@hotmail.it">darioghilardi@hotmail.it</a><br>skype: nikolasarcevic<br>web: <a href="http://www.darioghilardi.com">http://www.darioghilardi.com</a><br>mob: +39 338 6019721<br>----------------------------------------------------------<br>
<br>
</div>