[ANN] un nuovo blog su application security

Ciao a tutti, ho pensato se potesse essere un messaggio in topic alla
lista
oppure no e mi sono detto… se non in topic in una ml di sviluppatori
a
chi posso mandarlo?

Ho lanciato da una settimana un nuovo blog sui temi di sicurezza
applicativa: http://armoredcode.com

Il tema molto semplice, parlare di come scrivere codice sicuro, come
fare
del testing con un occhio alle vulnerabilit delle web application,
essere
consapevoli di cosa sia un XSS, un CSRF o una SQL Injection non solo per
quello che leggiamo ad opera di Anonymous & C e molto altro.

Molti degli esempi che far saranno in ruby anche perch sto scrivendo un
sacco di gemme per automatizzare il mio lavoro di pentester e quindi a
parte C, per la parte web ruby il mio standard de facto.

Pi avanti ci saranno anche delle interviste a specialisti di application
security e sviluppatori, chi si vuole candidare per farsi fare qualche
domanda e venire pubblicato mi scriva pure in pvt… tanto io le mie 2 o
3
superstar che scrivono qui le ho gi individuate e presto mi far sentire.

Per tutti, spero vi appassionate ad armoredcode.com, che vi possano
interessare i temi trattati e che mi aiutiate a far crescere community e
awareness sui temi di sicurezza applicativa anche tra “noi”
sviluppatori.

Ciao
Paolo

“… static analysis is fun, again!”

life from an application security guy ~> http://armoredcode.com

On Mar 21, 2012, at 4:24 PM, Paolo P. wrote:

CUT

Molto bello, finito immediatamente tra i feed.

ngw

Ciao Paolo, un’iniziativa molto interessante su una tematica di cui so
(purtroppo) veramente poco. Spero sia un’occasione per farmi almeno una
cultura di base. Aggiunto immediatamente a google reader.

Ciao e grazie
Stefano

Good job! Adesso vogliamo contenuti succulenti :slight_smile:

On Wed, Mar 21, 2012 at 4:59 PM, Stefano P.
[email protected]wrote:

lista
essere
3

“… static analysis is fun, again!”
http://lists.ruby-it.org/mailman/listinfo/ml


Andrea R.
Lelylan | reThink your house
http://lelylan.com

Ciao a tutti e grazie per i feedback calorosi.
Un intervento mi mette out per un paio di settimane quindi diciamo che
dall’inizio aprile torner a postare.
Nell’ordine ecco i titoli dei prossimi 2 post:
“Understanding your risk” e parler della Top 10 Owasp dei 10
maggiori rischi a cui sono esposte le web apps
“Design a strong API usingSinatra”: questo sar un post in pi
puntate dove cercher di fare un recap su come progettare un’API in
Sinatra con un occhio attento alla sicurezza.

Poi alcuni, soprattutto d’oltremanica, mi hanno chiesto cose un po’
oldschool su come i compilatori e gli interpreti usano l’analisi
statica per valutare il codice che stiamo loro sottoponendo… per
prima un ripassino di bufferoverflow e formatbug doveroso. Ripassate
il vostro C :slight_smile:

Un abbraccio
Paolo

2012/3/21 Andrea R. [email protected]

Ciao e grazie

Ho lanciato da una settimana un nuovo blog sui temi di sicurezza
sacco di gemme per automatizzare il mio lavoro di pentester e quindi a
interessare i temi trattati e che mi aiutiate a far crescere community e
[email protected]

Andrea R.
Lelylan | reThink your house
http://lelylan.com


Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


“… static analysis is fun, again!”

life from an application security guy ~> http://armoredcode.com

Il giorno 21 marzo 2012 17:14, Paolo P. [email protected] ha
scritto:

Poi alcuni, soprattutto d’oltremanica, mi hanno chiesto cose un po’
oldschool su come i compilatori e gli interpreti usano l’analisi
statica per valutare il codice che stiamo loro sottoponendo… per
prima un ripassino di bufferoverflow e formatbug doveroso. Ripassate
il vostro C :slight_smile:

Se posso suggerire, mostra come forzare queste vulnerabilit step by
step,
magari con tanto di app esempio su github :P.

Ciao,

Matteo

2012/3/21 Matteo C. [email protected]:

Il giorno 21 marzo 2012 17:14, Paolo P. [email protected] ha
scritto:
[…]

prima un ripassino di bufferoverflow e formatbug doveroso. Ripassate
il vostro C :slight_smile:

Se posso suggerire, mostra come forzare queste vulnerabilit step by step,
magari con tanto di app esempio su github :P.
Questa una fantastica idea, grazie Matteo, tieni presente che per
alcune di esse come XSS o CSRF alcuni framework come Rails fanno gi
del lavoro in maniera trasparente… diciamo che mi dovr ingegnare ma
di sicuro una cosa che far.

A tal proposito vi segnalo che ho creato un progetto fake sul repo di
armoredcode.com per raccogliere
bug/segnalazioni/richieste/domande/messaggi:
https://github.com/armoredcode/feedback/issues

Ho preso spunto da Zach Holman, nel caso qualcuno legga anche quel blog
:slight_smile:

Paolo


“… static analysis is fun, again!”

life from an application security guy ~> http://armoredcode.com

Cool!

Sono molto carente specialmente in ambito di sicurezza, quindi direi che
ti
sei guadagnato perlomeno un lettore (almeno per il momento non posso
certo
partecipare attivamente _).

Il giorno 21 marzo 2012 17:32, Nicholas W. [email protected] ha
scritto:

Complimenti per l’idea, ma dovresti offrire un premio in denaro a chi
riesce a bucarti il blog :slight_smile:

Anche se non credo che sia facile bucare sto Octopress (che gia’ il nome
mi incute paura) e nginx (anche se simpaticamente, il tuo nginx, mi dice
anche la sua versione: 1.0.14)

E poi ci voglio un link a http://www.corewars.org !!!

Complimenti ancora e scusa per le cavolate (davvero non resisto al troll
che e’ in me).

Davide

Il giorno 21 marzo 2012 16:24, Paolo P. [email protected] ha
scritto:

Ho lanciato da una settimana un nuovo blog sui temi di sicurezza
applicativa: http://armoredcode.com

Stupendo! Lo leggero’ con attenzione. Ora e’ tra i miei feed.
Andrea

Il giorno 21 marzo 2012 17:21, Paolo P. [email protected] ha
scritto:

magari con tanto di app esempio su github :P.
Questa una fantastica idea, grazie Matteo, tieni presente che per
alcune di esse come XSS o CSRF alcuni framework come Rails fanno gi
del lavoro in maniera trasparente… diciamo che mi dovr ingegnare ma
di sicuro una cosa che far.

Considera anche la mancanza di attr_accessible :D, che ha mietuto
notevoli
vittime :).

Ciao,

Matteo

2012/3/21 Davide R. [email protected]:

Complimenti per l’idea, ma dovresti offrire un premio in denaro a chi riesce a
bucarti il blog :slight_smile:
Ciao Davide, grazie per la simpatica email.
In realt no… anzi… mi raccomando leggendo i post non sentitevi
pront ad imitare le gesta dei vari anonimous o altre crew… bucare i
siti un reato :slight_smile:

Anche se non credo che sia facile bucare sto Octopress (che gia’ il nome mi
incute paura) e nginx (anche se simpaticamente, il tuo nginx, mi dice anche la sua
versione: 1.0.14)
Octopress un generatore di pagine statiche scritto in ruby… quindi
in realt tutto quello che vedete HTML + js… nessun DB alle
spalle… veramente poco da bucare :slight_smile:
nginx aggiornato alla sua ultima versione :slight_smile:

Ciao
Paolo


“… static analysis is fun, again!”

life from an application security guy ~> http://armoredcode.com

2012/3/22 Matteo C. [email protected]:

vittime :).
@Luca && @Nicholas, grazie mille :slight_smile:
@Matteo assolutamente s…


“… static analysis is fun, again!”

life from an application security guy ~> http://armoredcode.com

ciao Paolo, mi unisco ai complimenti per il tuo nuovo blog, e non vedo
l’ora di
leggere un po’ di articoli, spero siano molto tecnici, perch mi
piacerebbe
rispolverare un po’ di cosine :stuck_out_tongue:

Il 25/03/2012 18:13, Paolo P. ha scritto:

In realt no… anzi… mi raccomando leggendo i post non sentitevi
pront ad imitare le gesta dei vari anonimous o altre crew… bucare i
siti un reato :slight_smile:

bucare siti reato legale, ma protestare un dovere etico :wink: so anche
che
cazzeggiare e far danni ai sistemi altrui vandalismo :stuck_out_tongue:

tra le altre cose, ricordo che anni fa venivano usati come cavie i
paesi che
non erano ancora attrezzati con una legislazione che punisce i reati
informatici
(ecco perch molte crew si dichiarano brasiliane) :smiley:

This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.

| Privacy Policy | Terms of Service | Remote Ruby Jobs