Título: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: murdock_ en 29 Julio 2010, 16:31 pm Hola a todos,
¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)? De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen? saludos! Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: PHAMTOM en 9 Agosto 2010, 00:32 am Hola a todos, ¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)? De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen? saludos! fuzzers? (Programas de testeo de vulnerabilidades Buffer Overflow) Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: Erfiug en 9 Agosto 2010, 04:04 am Hola a todos, En OWSAP hay buenos proyectos no comerciales de herramientas para buscar vulnerabilidades y bugs para java.¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)? De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen? saludos! Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: Debci en 9 Agosto 2010, 11:12 am Hola a todos, ¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)? De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen? saludos! fuzzers? (Programas de testeo de vulnerabilidades Buffer Overflow) Saludos Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: .(sWeEtHaCk). en 17 Agosto 2010, 01:19 am Dios, Debci, desde que vi el post de este tio pense lo mismo... Si he oido de algo parecido, ahora mismillo te lo busco, espera.... Quieres una analizador de CODIGO MALICIOSO...
Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: murdock_ en 17 Agosto 2010, 15:54 pm Buenas a tod@s, disculpad la tardanza en contestar, he estado de vacaciones... Pues respondiendo un poco a todos, primordialmente me refiero a buscar código maligno, pero también vulnerabilidades.
Se que la búsqueda de código maligno es prácticamente imposible, porque o analizas código ya registrado en las bases de datos de antivirus o poco se puede hacer... Y el tema de las vulnerabilidades se que se pueden hacer búsquedas de patrones, de hecho yo ya he hecho algún proyecto en busca de patrones (en mi caso de sql injections: http://elblogdecalles.blogspot.com/2010/03/security-module-parte-i.html) y me gustaría también alguna herramienta que me hiciese búsquedas de este estilo. .sWeEt-HaCk. si tienes algo útil se agradece :) saludos! Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: Erfiug en 17 Agosto 2010, 18:06 pm Buenas a tod@s, disculpad la tardanza en contestar, he estado de vacaciones... Pues respondiendo un poco a todos, primordialmente me refiero a buscar código maligno, pero también vulnerabilidades. Para vulnerabilidades puedes mirar en la web de OWASP hay muchos proyectos libres de este tipo.. Si quieres herramientas profesionales hay de muy buenas como Fortify pero valen un pastón ;DSe que la búsqueda de código maligno es prácticamente imposible, porque o analizas código ya registrado en las bases de datos de antivirus o poco se puede hacer... Y el tema de las vulnerabilidades se que se pueden hacer búsquedas de patrones, de hecho yo ya he hecho algún proyecto en busca de patrones (en mi caso de sql injections: http://elblogdecalles.blogspot.com/2010/03/security-module-parte-i.html) y me gustaría también alguna herramienta que me hiciese búsquedas de este estilo. .sWeEt-HaCk. si tienes algo útil se agradece :) saludos! Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: murdock_ en 18 Agosto 2010, 00:05 am Buenas, gracias Erfiug, he estado mirando en OWASP y nombran a estas 4:
FindBugs PMD JLint Jmetrics Las dos primeras son las que comentaba yo en el primer mensaje, voy a estudiar JLint y Jmetrics a ver si les puedo sacar partido. Lo de fortify lo miraré también aunque en principio no quería invertir pasta en el proyecto. gracias, saludos! Título: Re: Software que analice el código fuente de un proyecto buscando codigo malicioso Publicado por: Erfiug en 18 Agosto 2010, 01:14 am para java había un plugin bastante bueno para eclipse llamado LAPSE http://www.owasp.org/index.php/Category:OWASP_LAPSE_Project lo hicieron unos investigadores de standford, en su paper parece que hicieron un buen trabajo.
Yo estoy precisamente investigando en esta rama, y si de verdad quieres buscar vulnerabilidades te recomiendo hacer pen tests y analizar tu el código, las herramientas automáticas dan muchos falsos positivos y omiten la mayoría de vulnerabilidades (sólo encuentran errores de implementación....). suerte |