RIPS: PHP security code scanner 0.51

Tags: , , , , ,

Nessas últimas semanas, saiu uma leva de ferramentas focadas na análise de aplicações web, muitas delas desenvolvidas para varrer códigos feitos em PHP.

É incrível a quantidade de ferramentas disponíveis para este fim, e também é incrível o total descaso dos desenvolvedores de aplicações WEB em não varrer o seu código na busca por alguma falha que possa ser explorada. Desenvolvedores ainda teimam que eles só  desenvolvem e não trabalham com segurança.

A nova versão do RIPS cai como uma luva na hora em que você precisa analisar aquele código ultra super desenvolvido para dar uma remodelada em sua aplicação, e olha que o desenvolvedor garantiu que está tudo seguro e perfeito… 🙂

Vejam a imagem da ferramenta em funcionamento abaixo:

O RIPS poderá ser baixado a partir do seguinte link.

VEJA TAMBÉM

Promoção – 10 posts no Coruja de TI em 1 hora e 5 livros sorteados Pessoal, um jornalista entrou em contato comigo perguntando quantas laudas eu consigo produzir por dia. Eu disse que consigo fazer 10 laudas em 1 hora. Para quem não sabe, 1 lauda contém 1250 caracter...
Sites dos supermercados Extra foram pichados “hackeados” 12:04 de hoje e recebeu um email dizendo que alguns dos sites dos supermercados extra foram pichados. Verificado e de fato eles foram ou melhor, ainda estão pichados. Vejam na imagem abaixo ou aces...
Gmail fora do ar, a culpa foi a chuva de SP Piadas a parte, acabei de ver que o email do google, o tão conhecido e utilizado gmail está fora do ar, pelo menos para nós brasileiros. O problema é que centenas ou até mesmo milhares de empresas ...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

6 comentários em “RIPS: PHP security code scanner 0.51

  1. Possivel Aluno

    Engraçado que vc, quando encontra uma falha, avisa para o desenvolvedor corrigir. Ou seja, vc SÓ usa ferramentas para encontrar as falhas e NÃO AS CORRIGE. Mas, por outro lado, quer q o desenvolvedor faça a parte dele e a sua tbm, embora vc não faça a sua e a dele tbm…

  2. Gustavo Lima

    Possível Aluno, quando você trabalha em empresas de grande porte é isso que acontece, infelizmente. Cada um possui a sua função, tendo o desenvolvimento ou acerto de um código de responsabilidade do time que o desenvolve. Você não pode chegar e alterar uma aplicação só porque você sabe como e onde mexer.
    Outro ponto é que você não pode dar a chave do galinheiro para as galinhas e nem para o lobo.

  3. Luis Garcia

    Como toda ferramenta, gera “falso positivo”. Sempre será necessário uma pessoa olhar e analisar.

    Lembre-se que ferramentas de scan de vulnerabilidade são para auxiliar, não automatizar sem analise.

  4. Luiz Vieira

    Se ferramenta pudesse fazer o trabalho de um pentest, estávamos morrendo de fome…rs. O legal dessas tools é que elas agilizam o processo de descoberta de falhas, mas a filtragem e análise real é feita no olho.

    Ainda mais quando levantamos os pontos que o Luis colocou, sobre falsos positivos. Isso encontramos até em ferramentas como Core Impact e Immunity Canvas (o nexpose tbm é excelente em gerar falsos positivos).

    Um exemplo: o Nexpose não analisa a vulnerabilidade em alguns casos, mas apenas o banner da aplicação ou sistema operacional, e a partir disso exibe o aviso de que há uma falha naquela versão específica. Só que se os administrador daquele sistema já houver aplicado a correção, isso é um falso positivo.

    Outro exemplo: fiz um pentest uma vez, numa empresa grande de telecom, e a ferramenta disse que havia uma vulnerabilidade específica que permitiria um ataque de brute force numa aplicação do tipo VNC. Posteriormente conversando com as pessoas de SI da empresa, descobri que não era falha alguma. Era uma ferramenta, com um determinado protocolo, usada na proteção da rede que era identificado como um aplicativo vulnerável. Só que, por conta disso, se eu rodasse algum ataque de brute force, eu pararia a rede toda, prq um appliance bloquearia tudo… E eu ferraria com a rede do cliente.

    Logo, precisamos tomar muito cuidado com falsos positivos. E com isso, mais uma vez, reforçamos a necessidade de um profissional experiente, mesmo para operar ferramentas automatizadas.

    [ ]’s

DEIXAR UM COMENTÁRIO

MENU