Ciao a tutti, volevo segnalarvi che dopo 3 mesi stata rilasciata la
nuova versione della gemma codesake-dawn che sto scrivendo.
codesake-dawn uno scanner di security per applicazioni scritte in
ruby. Ora i check di security nella knowledge base sono 171, ci sono
opzioni per la formattazione in tabelle ascii e html, possibile
creare un file di configurazione dove possibile abilitare o
disabilitare alcune opzioni del tool.
Le nuove opzioni possibili le trovate nell’help che potete richiamare
con il flag omonimo.
A questo punto aspetto i vostri feedback 
Paolo
–
$ gem install codesake-dawn -P MediumSecurity
The Application Security blog you really want to read:
http://armoredcode.com
Ciao Paolo, nella tua roadmap il supporto per applicazioni Rack?
2014-04-04 12:58 GMT+02:00 Paolo P. [email protected]:
Ciao Luca. S, assolutamente.
Intanto sono gi presenti alcuni CVE specifici di Rack.
Al momento non ‘dovrebbe’ riuscire a fare il detect del tipo di app,
quindi dawn dovrebbe fermarsi.
Hai un’applicazione pure rack opensource da passarmi come caso di test?
2014-04-04 14:07 GMT+02:00 Luca G. [email protected]:
opzioni per la formattazione in tabelle ascii e html, possibile
–
lucaguidi.com
Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml
–
$ cd /pub
$ more beer
The Application Security blog you really want to read:
http://armoredcode.com
Paolo, non ho esempi per Rack. Il mio obiettivo testare
sistematicamente
applicazioni scritte con Lotus (http://lotusrb.org).
Luca
2014-04-04 14:27 GMT+02:00 Paolo P. [email protected]:
c’ qualcosa che non va, ovvero, mi capitato un
$ dawn .
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:in
exist?': no implicit conversion of Fixnum into String (TypeError) from /Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:inread_conf’
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/bin/dawn:61:in
<top (required)>' from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:inload’
from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:in <main>' from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:ineval’
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:in
`’
un paio di error reporting confusi (forse conviene assumere la
directory
corrente o dire “specifica la directory”)
$ dawn -r
00:13:47 [*] dawn v1.1.0 is starting up
00:13:47 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags
$ dawn --rails
00:13:53 [*] dawn v1.1.0 is starting up
00:13:53 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags
FWIW, il primo errore non riesco a riprodurlo, ma presumo che metetre un
“.to_i” al posto giusto sia semplice 
2014-04-04 12:58 GMT+02:00 Paolo P. [email protected]:
con il flag omonimo.
Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml
–
twitter: @riffraff
blog (en, it): www.riffraff.info
work: circleme.com
Ciao Gabriele, il primo una issue che mi hanno segnalato e che
chiusa (https://github.com/codesake/codesake-dawn/issues/52). La fix
gi applicata in development.
Aspetto ancora un po’ prima di far uscire una gemma con la patch.
Per la seconda s… devo fermare subito se manca la directory
(https://github.com/codesake/codesake-dawn/issues/55).
Grazie
Paolo
2014-04-07 0:19 GMT+02:00 gabriele renzi [email protected]:
`<top (required)>’
codesake-dawn uno scanner di security per applicazioni scritte in
Paolo
http://lists.ruby-it.org/mailman/listinfo/ml
–
$ cd /pub
$ more beer
The Application Security blog you really want to read:
http://armoredcode.com
Ciao Luca, mi crei un’app tipo con Lotus che la aggiungo a quelle di
test? Scopro oggi Lotus… complimenti.
Paolo
2014-04-07 10:31 GMT+02:00 Luca G. [email protected]:
Ciao a tutti, volevo segnalarvi che dopo 3 mesi stata rilasciata la
Ml mailing list
[email protected]
Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml
–
$ cd /pub
$ more beer
The Application Security blog you really want to read:
http://armoredcode.com
Paolo, Lotus non ancora completamente open source, quindi credo che
l’auto-detect di Codesake::Dawn non possa ancora funzionare. Qui trovi
un
esempio di quello che sar: https://gist.github.com/jodosha/9830002
Luca
2014-04-07 10:47 GMT+02:00 Paolo P. [email protected]: