Forum: Italian Ruby user group [ANN] Codesake::Dawn ruby source code security scanner v1.1.0 has been released

857c770ccb0a8e869994f663f09b22ec?d=identicon&s=25 Paolo P. (paolo_p)
on 2014-04-04 13:00
(Received via mailing list)
Ciao a tutti, volevo segnalarvi che dopo 3 mesi  stata rilasciata la
nuova versione della gemma codesake-dawn che sto scrivendo.

codesake-dawn  uno scanner di security per applicazioni scritte in
ruby. Ora i check di security nella knowledge base sono 171, ci sono
opzioni per la formattazione in tabelle ascii e html,  possibile
creare un file di configurazione dove  possibile abilitare o
disabilitare alcune opzioni del tool.

Le nuove opzioni possibili le trovate nell'help che potete richiamare
con il flag omonimo.

 A questo punto aspetto i vostri feedback :)

Paolo

--
$ gem install codesake-dawn -P MediumSecurity

The Application Security blog you really want to read:
http://armoredcode.com
114ff87909d3f24150ff3d70d5254338?d=identicon&s=25 Luca Guidi (Guest)
on 2014-04-04 14:07
(Received via mailing list)
Ciao Paolo,  nella tua roadmap il supporto per applicazioni Rack?


2014-04-04 12:58 GMT+02:00 Paolo Perego <thesp0nge@gmail.com>:
857c770ccb0a8e869994f663f09b22ec?d=identicon&s=25 Paolo P. (paolo_p)
on 2014-04-04 14:28
(Received via mailing list)
Ciao Luca. S, assolutamente.
Intanto sono gi presenti alcuni CVE specifici di Rack.

Al momento non 'dovrebbe' riuscire a fare il detect del tipo di app,
quindi dawn dovrebbe fermarsi.
Hai un'applicazione pure rack opensource da passarmi come caso di test?

2014-04-04 14:07 GMT+02:00 Luca Guidi <guidi.luca@gmail.com>:
>> opzioni per la formattazione in tabelle ascii e html,  possibile
>> --
>
>
> --
> lucaguidi.com
> _______________________________________________
> Ml mailing list
> Ml@lists.ruby-it.org
> http://lists.ruby-it.org/mailman/listinfo/ml



--
$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com
E555a767a33427bfee0bb0878566293c?d=identicon&s=25 gabriele renzi (Guest)
on 2014-04-07 00:21
(Received via mailing list)
c' qualcosa che non va, ovvero, mi  capitato un

$ dawn .
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:in
`exist?': no implicit conversion of Fixnum into String (TypeError)
 from
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:in
`read_conf'
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/bin/dawn:61:in
`<top (required)>'
 from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:in `load'
from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:in `<main>'
 from
/Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:in
`eval'
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:in
`<main>'

un paio di  error reporting confusi (forse conviene assumere la
directory
corrente o dire "specifica la directory")


$ dawn -r
00:13:47 [*] dawn v1.1.0 is starting up
00:13:47 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags

$ dawn --rails
00:13:53 [*] dawn v1.1.0 is starting up
00:13:53 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags


FWIW, il primo errore non riesco a riprodurlo, ma presumo che metetre un
".to_i" al posto giusto sia semplice :)



2014-04-04 12:58 GMT+02:00 Paolo Perego <thesp0nge@gmail.com>:

> con il flag omonimo.
> _______________________________________________
> Ml mailing list
> Ml@lists.ruby-it.org
> http://lists.ruby-it.org/mailman/listinfo/ml
>



--
twitter: @riffraff
blog (en, it): www.riffraff.info
work: circleme.com
114ff87909d3f24150ff3d70d5254338?d=identicon&s=25 Luca Guidi (Guest)
on 2014-04-07 10:31
(Received via mailing list)
Paolo, non ho esempi per Rack. Il mio obiettivo  testare
sistematicamente
applicazioni scritte con Lotus (http://lotusrb.org).

Luca


2014-04-04 14:27 GMT+02:00 Paolo Perego <thesp0nge@gmail.com>:
857c770ccb0a8e869994f663f09b22ec?d=identicon&s=25 Paolo P. (paolo_p)
on 2014-04-07 10:47
(Received via mailing list)
Ciao Luca, mi crei un'app tipo con Lotus che la aggiungo a quelle di
test? Scopro oggi Lotus.... complimenti.

Paolo

2014-04-07 10:31 GMT+02:00 Luca Guidi <guidi.luca@gmail.com>:
>>
>> >> Ciao a tutti, volevo segnalarvi che dopo 3 mesi  stata rilasciata la
>> >>
>> >> Ml mailing list
>> > Ml@lists.ruby-it.org
>> _______________________________________________
> Ml mailing list
> Ml@lists.ruby-it.org
> http://lists.ruby-it.org/mailman/listinfo/ml



--
$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com
857c770ccb0a8e869994f663f09b22ec?d=identicon&s=25 Paolo P. (paolo_p)
on 2014-04-07 10:51
(Received via mailing list)
Ciao Gabriele, il primo  una issue che mi hanno segnalato e che
chiusa (https://github.com/codesake/codesake-dawn/issues/52). La fix
gi applicata in development.
Aspetto ancora un po' prima di far uscire una gemma con la patch.

Per la seconda s... devo fermare subito se manca la directory
(https://github.com/codesake/codesake-dawn/issues/55).
Grazie
Paolo

2014-04-07 0:19 GMT+02:00 gabriele renzi <rff.rff@gmail.com>:
> `<top (required)>'
>
>
>> codesake-dawn  uno scanner di security per applicazioni scritte in
>> Paolo
>>
> http://lists.ruby-it.org/mailman/listinfo/ml
--
$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com
114ff87909d3f24150ff3d70d5254338?d=identicon&s=25 Luca Guidi (Guest)
on 2014-04-07 11:27
(Received via mailing list)
Paolo, Lotus non  ancora completamente open source, quindi credo che
l'auto-detect di Codesake::Dawn non possa ancora funzionare. Qui trovi
un
esempio di quello che sar: https://gist.github.com/jodosha/9830002

Luca


2014-04-07 10:47 GMT+02:00 Paolo Perego <thesp0nge@gmail.com>:
This topic is locked and can not be replied to.