Mostrando entradas con la etiqueta source. Mostrar todas las entradas
Mostrando entradas con la etiqueta source. Mostrar todas las entradas

12 octubre 2012

Probando Fortify SCA

Últimamente he estado viendo HP Fortify SCA, una herramienta para hacer auditorias de código fuente dentro de las soluciones de HP para gestionar la seguridad en el ciclo de desarrollo seguro. 

Fortify, considerada líder en este campo, fue adquirida en 2010 por HP para integrarse con el resto de productos.

Pese a que existen otras aplicaciones, tanto opensource/freeware como comerciales, aún están bastante lejos de llegar al nivel de madurez de SCA.

Haciendo pruebas y evaluando productos, probé a revisar el abandonado y triste front-end web escrito en PHP de OSSEC, que por cierto, desde que fue adquirido por Trend Micro, lo están dejando morir ya que ellos venden una consola mucho más profesional.. En unos minutos encontré un cross-site-scripting reflejado, al tener una validación muy pobre de un dato de entrada de un método POST con una expresión regular que debería incluir el inicio "^" y final de cadena "$".


La pantalla general es bastante sencilla, en la que destacan tres partes principales: las vulnerabilidades a la izquierda, el código fuente en el centro y la descripción, recomendación o gráfico de su flujo en la parte inferior central.



El dibujo del flujo de datos es posiblemente una de las características que más impresionan y muestran el potencial de la utilidad.


Las vulnerabilidades pueden ordenarse en base a distintas categorías y tipos:


De igual forma los reportes se pueden generar en distintos formatos y contenidos.


También es posible guardar los análisis e integrarlos en una consola central llamada Software Security Center.
Leer más...

10 noviembre 2011

Conferencia de seguridad Source CON 2011


La semana que viene tendrá lugar en Barcelona una de las conferencias de seguridad más interesantes del año, la Source CON, comprometiéndose una vez más con la divulgación de la información desde un ambiente dinámico y divertido.

Esta edición, se celebrará en el Museo Nacional D'art de Catalunya y nos ofrecerá por un lado un par de trainings de formación, que tendrán lugar los días 14 y 15 de noviembre, y las ponencias, que contarán con un track en inglés y otro en español los días 16 y 17 del mismo mes. Participando ponentes como Jose Selvi, Daniel Pelaez, Manu Quintans, Frank Ruiz, Sebastián Guerrero, Jonathan Cran, Matt Bartoldus, Ofer Shezaf, entre otros.

Los trainings serán los siguientes:
  • Training de pentest en plataformas móviles con Zach Lanier y Jon Oberheide.
  • "Grepping for Gold": detección e investigación de incidentes de seguridad, con Wim Remes y Mertins Xavier.
Así mismo en las charlas podremos encontrar temas de seguridad vitales en el panorama actual, seguridad móvil, gestión del riesgo, prácticas de seguridad en la nube, análisis de registros, la convergencia de la seguridad en la era del anonimato, penetration tests, seguridad de aplicaciones web, malware y mucho más.

El calendario de ponencias así como una información más detallada de cada una puede ser encontrada en la página del congreso: SourceCon Schedule.

Nosotros en Security By Default no queremos ser menos, y como sabemos que os gusta mucho un sarao de seguridad, vamos a sortear un FREE PASS!, con acceso al track completo en inglés y español, excluyendo las dietas y los gastos de viaje y alojamiento, que correrán a cargo de cada uno.

Para participar hemos decidido que la mejor forma de hacerlo es responder de forma personal en los comentarios a una pregunta relacionada con la seguridad Android.

¿Cómo mejorarías la seguridad en Android? (véase comentar qué medidas de seguridad aplicarías, qué aplicaciones utilizarías, qué plan de protección utilizarías, etc...).

Tenéis hasta mañana por la noche, después de eso todos los comentarios serán supervisados y la respuesta que más interesante nos parezca, será la premiada con la entrada. Buena suerte y sed justos, si sabéis que no vais a poder ir, no quitéis la posibilidad a alguien que esté interesado realmente.
Leer más...

13 septiembre 2009

SOURCE Barcelona, ¡corre!

Estamos de enhorabuena, una de las conferencias más importantes de seguridad, SOURCE, celebrada siempre en Boston, el día 22 de este mes tendrá su primera edición en Barcelona.

La agenda presenta altísima calidad técnica, está dividida en dos tracks con ponentes de conocido prestigio internacional.

El precio para poder asistir es de 600€ si no somos estudiantes, pero de tan solo 75€ si nos acreditamos como tal. Además, desde la organización nos han facilitado el código de inscripción "ECSOURCE", que añade un descuento de un 25%.

Es una magnífica oportunidad para conocer algunos de los pesos pesados del sector. Si tienes posibilidad de ir como estudiante, sería casi un delito no asistir.
Leer más...