Mensajes

puede ser RFI, SQL inj, XSS depende de como sea el código vulnerable....

Esta pregunta es equivalente a: He oido que hay paginas con noticias vulnerables, que vulnerabildad es? (pues dependerá de cada caso...)

Hola a todos,

¿Conocéis alguna herramienta o conjunto de herramientas que permitan analizar un proyecto de desarrollo software, en Java por ejemplo, en busca de código malicioso y/o vulnerabilidades de todo tipo (p.e. sql injections si se integra con bbdd, crlf, buffer overflow, etc.)?

De momento he encontrado dos posibles soluciones para Java, son PMD y FindBug, aunque algo limitadas ¿que os parecen?

saludos!

En OWSAP hay buenos proyectos no comerciales de herramientas para buscar vulnerabilidades y bugs para java.

Lo siento mucho Erfiug.

He buscado tu libro (un enlace gratuito) por toda la red (mil y una veces) y no hay forma de dar con el.

Suerte, pero me parece que como no lo compres...


Salu2.

Si yo también estuve buscando mucho por esto decidí preguntar aquí, gracias de todos modos

2 minutos? He estado 3 horas y sólo se ha hablado de sexo y demás tonterías (repasa los logs), con perlas como:

"aqui consigues sexo por 2€"

"hare una protesta... el gobierno debe regalar preservativos"

"aqui niñas de 10 tienen sexo por lo tanto promoverlo es hacer que los niños d 2 tengan sexo"

"que luego te dejan la polla oliendo a chocolate"

"jajaja VxRNA bien bien , con el pene tienes que meterle un syn"

Además he intentado sacar el tema de seguridad con Mazard pero parecía que la gente no estaba muy por el tema...

Quizá si estoy conectado 15 horas si que sale algún tema de conversación interesante pero en las 6 últimas páginas de logs no he encontrado nada interesante... Siento que mi opinión os ofenda.

Sin acritud.

porque sólo se habla de sexo/tonterias varias.

AQUÍ lo tienes.


Saludos.

Estoy buscando un enlace para descargarlo no una tienda para comprarlo.

Saludos.

Como comentas, el primer enlace no va y en el segundo no está el libro que busco no entiendo porque no está por ningún sitio..

Llevo un mes buscando este libro pero no hay manera, a ver si alguien sabe donde conseguirlo.

El libro es: Hacking Exposed™ J2EE & Java: Developing Secure Applications with Java Technology

gracias.

si pones un backslash delante de las comillas es para indicar que quieres mostrar ese carácter (las comillas) y no para delimitar un string.

Ahora mi pregunta es esta:

Cuando analizan un posible vector de ataque como determinan, en el caso de XSS por ejemplo, cual es el filtro que esta utilizando?

Mirando el código fuente.. o probando con distintos inputs si no dispones de este.

Son todos los filtros, de una manera u otra bypasseables?

Esto es equivalente a preguntar si todas las webs son vulnerables a ataques XSS