elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Software que analice el código fuente de un proyecto buscando codigo malicioso
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Software que analice el código fuente de un proyecto buscando codigo malicioso  (Leído 7,772 veces)
murdock_

Desconectado Desconectado

Mensajes: 154



Ver Perfil
Software que analice el código fuente de un proyecto buscando codigo malicioso
« en: 29 Julio 2010, 16:31 pm »

Hola a todos,

¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)?

De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen?

saludos!
En línea

Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla.

Maestro Sun Tzu, El arte de la guerra
PHAMTOM

Desconectado Desconectado

Mensajes: 83

0x8B,0xEC,0x33,0xFF


Ver Perfil
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #1 en: 9 Agosto 2010, 00:32 am »

Hola a todos,

¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)?

De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen?

saludos!

fuzzers? (Programas de testeo de vulnerabilidades Buffer Overflow)
En línea

Miran a cualquier ventana, mientras su pánico emana
y nubla su visión mi calma es pura precisión
cargo munición y miro tranquilo
ya ni respiro desde al ático os vigilo sigo al filo os tengo a tiro!

La kitchner quiere tanto a los pobres,que cada vez,tiene más
Erfiug

Desconectado Desconectado

Mensajes: 44



Ver Perfil
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #2 en: 9 Agosto 2010, 04:04 am »

Hola a todos,

¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)?

De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen?

saludos!
En OWSAP hay buenos proyectos no comerciales de herramientas para buscar vulnerabilidades y bugs para java.
En línea

Debci
Wiki

Desconectado Desconectado

Mensajes: 2.021


Actualizate o muere!


Ver Perfil WWW
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #3 en: 9 Agosto 2010, 11:12 am »

Hola a todos,

¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)?

De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen?

saludos!

fuzzers? (Programas de testeo de vulnerabilidades Buffer Overflow)
Creo que se refiere a codigo maligno y no vulnerabilidades...

Saludos
En línea

.(sWeEtHaCk).

Desconectado Desconectado

Mensajes: 86



Ver Perfil
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #4 en: 17 Agosto 2010, 01:19 am »

Dios, Debci, desde que vi el post de este tio pense lo mismo...  Si he oido de algo parecido, ahora mismillo te lo busco, espera.... Quieres una analizador de CODIGO MALICIOSO...
En línea

Un Hacker no nace, se hace.
murdock_

Desconectado Desconectado

Mensajes: 154



Ver Perfil
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #5 en: 17 Agosto 2010, 15:54 pm »

Buenas a tod@s, disculpad la tardanza en contestar, he estado de vacaciones... Pues respondiendo un poco a todos, primordialmente me refiero a buscar código maligno, pero también vulnerabilidades.

Se que la búsqueda de código maligno es prácticamente imposible, porque o analizas código ya registrado en las bases de datos de antivirus o poco se puede hacer...

Y el tema de las vulnerabilidades se que se pueden hacer búsquedas de patrones, de hecho yo ya he hecho algún proyecto en busca de patrones (en mi caso de sql injections: http://elblogdecalles.blogspot.com/2010/03/security-module-parte-i.html) y me gustaría también alguna herramienta que me hiciese búsquedas de este estilo.

.sWeEt-HaCk. si tienes algo útil se agradece :)

saludos!
En línea

Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla.

Maestro Sun Tzu, El arte de la guerra
Erfiug

Desconectado Desconectado

Mensajes: 44



Ver Perfil
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #6 en: 17 Agosto 2010, 18:06 pm »

Buenas a tod@s, disculpad la tardanza en contestar, he estado de vacaciones... Pues respondiendo un poco a todos, primordialmente me refiero a buscar código maligno, pero también vulnerabilidades.

Se que la búsqueda de código maligno es prácticamente imposible, porque o analizas código ya registrado en las bases de datos de antivirus o poco se puede hacer...

Y el tema de las vulnerabilidades se que se pueden hacer búsquedas de patrones, de hecho yo ya he hecho algún proyecto en busca de patrones (en mi caso de sql injections: http://elblogdecalles.blogspot.com/2010/03/security-module-parte-i.html) y me gustaría también alguna herramienta que me hiciese búsquedas de este estilo.

.sWeEt-HaCk. si tienes algo útil se agradece :)

saludos!
Para vulnerabilidades puedes mirar en la web de OWASP hay muchos proyectos libres de este tipo.. Si quieres herramientas profesionales hay de muy buenas como Fortify pero valen un pastón  ;D
En línea

murdock_

Desconectado Desconectado

Mensajes: 154



Ver Perfil
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #7 en: 18 Agosto 2010, 00:05 am »

Buenas, gracias Erfiug, he estado mirando en OWASP y nombran a estas 4:

FindBugs
PMD
JLint
Jmetrics

Las dos primeras son las que comentaba yo en el primer mensaje, voy a estudiar JLint y Jmetrics a ver si les puedo sacar partido. Lo de fortify lo miraré también aunque en principio no quería invertir pasta en el proyecto.

gracias, saludos!
En línea

Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla.

Maestro Sun Tzu, El arte de la guerra
Erfiug

Desconectado Desconectado

Mensajes: 44



Ver Perfil
Re: Software que analice el código fuente de un proyecto buscando codigo malicioso
« Respuesta #8 en: 18 Agosto 2010, 01:14 am »

para java había un plugin bastante bueno para eclipse llamado LAPSE http://www.owasp.org/index.php/Category:OWASP_LAPSE_Project lo hicieron unos investigadores de standford, en su paper parece que hicieron un buen trabajo.

Yo estoy precisamente investigando en esta rama, y si de verdad quieres buscar vulnerabilidades te recomiendo hacer pen tests y analizar tu el código, las herramientas automáticas dan muchos falsos positivos y omiten la mayoría de vulnerabilidades (sólo encuentran errores de implementación....).

suerte
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines