Nessas últimas semanas, saiu uma leva de ferramentas focadas na análise de aplicações web, muitas delas desenvolvidas para varrer códigos feitos em PHP.

É incrível a quantidade de ferramentas disponíveis para este fim, e também é incrível o total descaso dos desenvolvedores de aplicações WEB em não varrer o seu código na busca por alguma falha que possa ser explorada. Desenvolvedores ainda teimam que eles só  desenvolvem e não trabalham com segurança.

A nova versão do RIPS cai como uma luva na hora em que você precisa analisar aquele código ultra super desenvolvido para dar uma remodelada em sua aplicação, e olha que o desenvolvedor garantiu que está tudo seguro e perfeito… 🙂

Vejam a imagem da ferramenta em funcionamento abaixo:

O RIPS poderá ser baixado a partir do seguinte link.

Compartilhar:

Este post tem 6 comentários

  1. Engraçado que vc, quando encontra uma falha, avisa para o desenvolvedor corrigir. Ou seja, vc SÓ usa ferramentas para encontrar as falhas e NÃO AS CORRIGE. Mas, por outro lado, quer q o desenvolvedor faça a parte dele e a sua tbm, embora vc não faça a sua e a dele tbm…

  2. Possível Aluno, quando você trabalha em empresas de grande porte é isso que acontece, infelizmente. Cada um possui a sua função, tendo o desenvolvimento ou acerto de um código de responsabilidade do time que o desenvolve. Você não pode chegar e alterar uma aplicação só porque você sabe como e onde mexer.
    Outro ponto é que você não pode dar a chave do galinheiro para as galinhas e nem para o lobo.

  3. Pessoal, fiz um post com algumas telas e resultados que tive com o RIPS.

    http://t.co/M4Yjfm4M .

    Gostei dele! Alguns dados inconsistentes mas um resultado bem satisfatório.

  4. Como toda ferramenta, gera “falso positivo”. Sempre será necessário uma pessoa olhar e analisar.

    Lembre-se que ferramentas de scan de vulnerabilidade são para auxiliar, não automatizar sem analise.

  5. Se ferramenta pudesse fazer o trabalho de um pentest, estávamos morrendo de fome…rs. O legal dessas tools é que elas agilizam o processo de descoberta de falhas, mas a filtragem e análise real é feita no olho.

    Ainda mais quando levantamos os pontos que o Luis colocou, sobre falsos positivos. Isso encontramos até em ferramentas como Core Impact e Immunity Canvas (o nexpose tbm é excelente em gerar falsos positivos).

    Um exemplo: o Nexpose não analisa a vulnerabilidade em alguns casos, mas apenas o banner da aplicação ou sistema operacional, e a partir disso exibe o aviso de que há uma falha naquela versão específica. Só que se os administrador daquele sistema já houver aplicado a correção, isso é um falso positivo.

    Outro exemplo: fiz um pentest uma vez, numa empresa grande de telecom, e a ferramenta disse que havia uma vulnerabilidade específica que permitiria um ataque de brute force numa aplicação do tipo VNC. Posteriormente conversando com as pessoas de SI da empresa, descobri que não era falha alguma. Era uma ferramenta, com um determinado protocolo, usada na proteção da rede que era identificado como um aplicativo vulnerável. Só que, por conta disso, se eu rodasse algum ataque de brute force, eu pararia a rede toda, prq um appliance bloquearia tudo… E eu ferraria com a rede do cliente.

    Logo, precisamos tomar muito cuidado com falsos positivos. E com isso, mais uma vez, reforçamos a necessidade de um profissional experiente, mesmo para operar ferramentas automatizadas.

    [ ]’s

Deixe uma resposta

Fechar Menu