RIPS: PHP security code scanner 0.51

Tags: , , , , ,

Nessas últimas semanas, saiu uma leva de ferramentas focadas na análise de aplicações web, muitas delas desenvolvidas para varrer códigos feitos em PHP.

É incrível a quantidade de ferramentas disponíveis para este fim, e também é incrível o total descaso dos desenvolvedores de aplicações WEB em não varrer o seu código na busca por alguma falha que possa ser explorada. Desenvolvedores ainda teimam que eles só  desenvolvem e não trabalham com segurança.

A nova versão do RIPS cai como uma luva na hora em que você precisa analisar aquele código ultra super desenvolvido para dar uma remodelada em sua aplicação, e olha que o desenvolvedor garantiu que está tudo seguro e perfeito… 🙂

Vejam a imagem da ferramenta em funcionamento abaixo:

O RIPS poderá ser baixado a partir do seguinte link.

VEJA TAMBÉM

Clavis é patrocinadora do #HackingDay É com grande satisfação que anuncio a Clavis como patrocinadora do HackingDay. A Clavis é uma empresa especializada em soluções e cursos relacionados à Segurança da Informação, com uma visão inovad...
Treinamento Intrusion Detection – Snort + OSSEC Sp0oKeR está oferecendo um novo treinamento em seu blog, o Intrusion Detection - Snort + OSSEC. Vejam o texto sobre ele logo abaixo: Caros, Estou lançando meu treinamento de OSSEC, mas aprove...
Escondendo os seus dados – Data Hiding Acabei de ler um livro bem interessante que se propõem a ensinar como esconder os seus dados. A Syngress, editora bem conhecida da galera de TI, que o publicou. Data Hiding possui 12 capítulos e um...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

6 comentários em “RIPS: PHP security code scanner 0.51

  1. Possivel Aluno

    Engraçado que vc, quando encontra uma falha, avisa para o desenvolvedor corrigir. Ou seja, vc SÓ usa ferramentas para encontrar as falhas e NÃO AS CORRIGE. Mas, por outro lado, quer q o desenvolvedor faça a parte dele e a sua tbm, embora vc não faça a sua e a dele tbm…

  2. Gustavo Lima

    Possível Aluno, quando você trabalha em empresas de grande porte é isso que acontece, infelizmente. Cada um possui a sua função, tendo o desenvolvimento ou acerto de um código de responsabilidade do time que o desenvolve. Você não pode chegar e alterar uma aplicação só porque você sabe como e onde mexer.
    Outro ponto é que você não pode dar a chave do galinheiro para as galinhas e nem para o lobo.

  3. Luis Garcia

    Como toda ferramenta, gera “falso positivo”. Sempre será necessário uma pessoa olhar e analisar.

    Lembre-se que ferramentas de scan de vulnerabilidade são para auxiliar, não automatizar sem analise.

  4. Luiz Vieira

    Se ferramenta pudesse fazer o trabalho de um pentest, estávamos morrendo de fome…rs. O legal dessas tools é que elas agilizam o processo de descoberta de falhas, mas a filtragem e análise real é feita no olho.

    Ainda mais quando levantamos os pontos que o Luis colocou, sobre falsos positivos. Isso encontramos até em ferramentas como Core Impact e Immunity Canvas (o nexpose tbm é excelente em gerar falsos positivos).

    Um exemplo: o Nexpose não analisa a vulnerabilidade em alguns casos, mas apenas o banner da aplicação ou sistema operacional, e a partir disso exibe o aviso de que há uma falha naquela versão específica. Só que se os administrador daquele sistema já houver aplicado a correção, isso é um falso positivo.

    Outro exemplo: fiz um pentest uma vez, numa empresa grande de telecom, e a ferramenta disse que havia uma vulnerabilidade específica que permitiria um ataque de brute force numa aplicação do tipo VNC. Posteriormente conversando com as pessoas de SI da empresa, descobri que não era falha alguma. Era uma ferramenta, com um determinado protocolo, usada na proteção da rede que era identificado como um aplicativo vulnerável. Só que, por conta disso, se eu rodasse algum ataque de brute force, eu pararia a rede toda, prq um appliance bloquearia tudo… E eu ferraria com a rede do cliente.

    Logo, precisamos tomar muito cuidado com falsos positivos. E com isso, mais uma vez, reforçamos a necessidade de um profissional experiente, mesmo para operar ferramentas automatizadas.

    [ ]’s

DEIXAR UM COMENTÁRIO

MENU