Archivi tag: sicurezza informatica

Tool per rendere sicure le vostre applicazioni Web

Volete rendere sicure le vostre applicazioni Web? Ecco alcune applicazioni che vi aiuteranno a farlo.

Netsparker Community Edition (Windows)

Edizione free del potente Nestsparker. Permette di invidivuare SQL Injectione e problemi di scripting cross site. Una volta che lo scan è completo viene mostrata la soluzione.

Mavituna  Security

Websecurify (Windows, Linux, Mac OS X)

Websecurify semplice tool opensource che indetiva le vulnerabilità delle web application attraverso l’uso di tecniche avanzate e tecnolofie fuzzy. Crea un semplice repoter alla fine del test.

Wapiti (Windows, Linux, Mac OS X)

Wapiti è yb toll web-based opensource che effettua la scannerizzazione di applicazioni web in particolare script e form che possono portare a problemi di injection. E’ scritto in Pythone e può individuare: errori di gestione dei file (locali e remoti di include e require, fopen e fread), injection su sorgenti di dati provenienti da dabase, LDAP e individuazione di comenadi esecutivi come eval(), system(), passtru().

skipfish (Windows, Linux, Mac OS X)

skipfish è un tool, completamente automatico per la sicurezza di applicazioni web. Veramente leggeto e molto veloce: 2000 richieste al secondo.

Ha la capacità di apprendere automaticamente, di creare wordlist al volo e completare automaticamente i form.


Scrawlr (Windows)

Scrawlr è un softare gratuito per individuare le vulnerabilià delle proprie applicazioni web del tipo: SQL injection.

Watcher (Windows)

E’ un plugin per Fiddler (proxy debug HTTP ) e lavora come come un tool di analisi passiva per applicazioni web basate su HTTP.

Lavora in background e interagisce con le applicazioni web applicandi oltre 30 tipi di test. E’ possibile personalizzare/ aggiungere i test e individuare, anche, situazioni di switch tra protocolli di HTTP e HTTPs.

x5s (Windows)

x5s è ancora un altro plugin per Fiddler simile a Watcher che è stato progettato per trovare problemi di codifica e trasformazione di caratteri che possono portare a vulnerabilità XSS. E’ un semplice test con carattari com <, >, ‘ .

Exploit-Me (Windows, Linux, Mac OS X)

Exploit-Me

Exploit-Me è dirattamente integrato in Firefox. Comprende l’unione di 3 add-on:

WebScarab (Windows, Linux, Mac OS X)


WebScarab è attualmente uno sniffer Http(s) che permette di manipolare il traffico. Da non molto sono state aggiunte proprietà che permetteono di individuare sql injection, CRLF injection e molto altro.

25 errori di sicurezza durante lo sviluppo

CWE

Sul sito di CWE sono stati elencati i 25 errori più comuni e pericolosi che vengono effettutati durante lo sviluppo di un’applicazione, rendendola poco sicura.

Potrete scaricare il fie: pdf

Rank Score ID Name
[1] 346 CWE-79 Failure to Preserve Web Page Structure (‘Cross-site Scripting’)
[2] 330 CWE-89 Improper Sanitization of Special Elements used in an SQL Command (‘SQL Injection’)
[3] 273 CWE-120 Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
[4] 261 CWE-352 Cross-Site Request Forgery (CSRF)
[5] 219 CWE-285 Improper Access Control (Authorization)
[6] 202 CWE-807 Reliance on Untrusted Inputs in a Security Decision
[7] 197 CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
[8] 194 CWE-434 Unrestricted Upload of File with Dangerous Type
[9] 188 CWE-78 Improper Sanitization of Special Elements used in an OS Command (‘OS Command Injection’)
[10] 188 CWE-311 Missing Encryption of Sensitive Data
[11] 176 CWE-798 Use of Hard-coded Credentials
[12] 158 CWE-805 Buffer Access with Incorrect Length Value
[13] 157 CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program (‘PHP File Inclusion’)
[14] 156 CWE-129 Improper Validation of Array Index
[15] 155 CWE-754 Improper Check for Unusual or Exceptional Conditions
[16] 154 CWE-209 Information Exposure Through an Error Message
[17] 154 CWE-190 Integer Overflow or Wraparound
[18] 153 CWE-131 Incorrect Calculation of Buffer Size
[19] 147 CWE-306 Missing Authentication for Critical Function
[20] 146 CWE-494 Download of Code Without Integrity Check
[21] 145 CWE-732 Incorrect Permission Assignment for Critical Resource
[22] 145 CWE-770 Allocation of Resources Without Limits or Throttling
[23] 142 CWE-601 URL Redirection to Untrusted Site (‘Open Redirect’)
[24] 141 CWE-327 Use of a Broken or Risky Cryptographic Algorithm
[25] 138 CWE-362 Race Condition