Howto o paper sobre busqueda de bugs en el código de aplicaciones web?

Iniciado por J_F_C, 9 Septiembre 2008, 12:08 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

J_F_C

9 Septiembre 2008, 12:08 PM

Hola

He estado buscando por este y otros foros algún doc, howto o manual sobre herramientas y como buscar bugs en aplicaciones web, y quizás porque es, o me es dificil, buscarle un titulo adecuado a la busqueda no he encontrado nada al respecto.

Lo que busco es información sobre la metodología y herramientas a usar para buscar bugs en aplicaciones web en php, perl, etc, pero realizando el test en la propia maquina, es decir, instalar un entorno con por ejemplo (php, apache, mysql), bajar los fuentes de las aplicaciones y testearlas para buscar bugs relativos a SQL injections, XSS, etc.


¿Alguien sabe de algún manual o howto sobre el procedimiento y tools a utilizar?

Gracias.

berz3k

#1
9 Septiembre 2008, 13:13 PM
Vaya,

Yo puedo recomendar OWASP y OSSTMM, que seguramente ya lo haz encontrado, cada company y cliente tiene sus metodologias para realizar algun tipo de test, code review black/white box etc, al final la gente tecnica y cliente son los que definen los alcances , entregables etc, para ello se escoge gente de cierto nivel para NO entregar la conocida "paja" que muchas veces es lo que hacen algunas consultoras ganando bastante "pasta" que no quiero ni mencionar nombres, igualmente ciertas areas de seguridad de Corps y grandes Bancos, obviamente sin generalizar , solo mi punto de vista...

PD: J_F_C tendras que formular tus preguntas mas precisas antes de postear algo que seguramente encontraras en google.com, un cordial saludo.


-berz3k.

J_F_C

#2
9 Septiembre 2008, 13:58 PM


Que hay

Berz3k, si te fijas ya digo en el post que estuve buscando al respecto y que no había encontrado nada interesante porque quizás no sabía muy bien como realizar la busqueda, de ahí que a ti también te de la sensación de que la pregunta es algo imprecisa.A mi también.


La verdad es que lo que tengo en mente es más bien un paper o un tutorial que tenga origen en el underground más que de fuentes como owasp, etc, no sé si me explico, busco un doc o unas pautas de la metodología que emplea alguien de estar por casa, alguien que se baja unos fuentes de por ejemplo sourceforge, los instala en su maquina y sigue su patrón y unas herramientas para auditar el codigo y encontrar bugs que después va ha publicar en milw0rm o cualquier otro sitio o que va a explotarlas sin más.


Saludos

sirdarckcat

#3
9 Septiembre 2008, 16:58 PM
bahhh pues ya me dieron ganas de terminar ADRENALINE :¬¬.. es precisamente una metodologia de auditoria de código, que nunca termine por.. flojo? jaja

avr si la termino aviso aqui.

Saludos!!

Azielito

#4
10 Septiembre 2008, 17:47 PM
Yo me apunto a la espera del doc sdc ñ_ñ
Imprimir
Ir Arriba Páginas1
Acciones del Usuario