Ciao a tutti, volevo segnalarvi che dopo 3 mesi stata rilasciata la
nuova versione della gemma codesake-dawn che sto scrivendo.
codesake-dawn uno scanner di security per applicazioni scritte in
ruby. Ora i check di security nella knowledge base sono 171, ci sono
opzioni per la formattazione in tabelle ascii e html, possibile
creare un file di configurazione dove possibile abilitare o
disabilitare alcune opzioni del tool.
Le nuove opzioni possibili le trovate nell’help che potete richiamare
con il flag omonimo.
A questo punto aspetto i vostri feedback
Paolo
–
$ gem install codesake-dawn -P MediumSecurity
The Application Security blog you really want to read:
Ciao Luca. S, assolutamente.
Intanto sono gi presenti alcuni CVE specifici di Rack.
Al momento non ‘dovrebbe’ riuscire a fare il detect del tipo di app,
quindi dawn dovrebbe fermarsi.
Hai un’applicazione pure rack opensource da passarmi come caso di test?
$ dawn .
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:in exist?': no implicit conversion of Fixnum into String (TypeError) from /Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:in read_conf’
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/bin/dawn:61:in <top (required)>' from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:in load’
from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:in <main>' from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:in eval’
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:in
`’
un paio di error reporting confusi (forse conviene assumere la
directory
corrente o dire “specifica la directory”)
$ dawn -r
00:13:47 [*] dawn v1.1.0 is starting up
00:13:47 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags
$ dawn --rails
00:13:53 [*] dawn v1.1.0 is starting up
00:13:53 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags
FWIW, il primo errore non riesco a riprodurlo, ma presumo che metetre un
“.to_i” al posto giusto sia semplice
Ciao Gabriele, il primo una issue che mi hanno segnalato e che
chiusa (TypeError · Issue #52 · thesp0nge/dawnscanner · GitHub). La fix
gi applicata in development.
Aspetto ancora un po’ prima di far uscire una gemma con la patch.
Paolo, Lotus non ancora completamente open source, quindi credo che
l’auto-detect di Codesake::Dawn non possa ancora funzionare. Qui trovi
un
esempio di quello che sar: Full stack Lotus application example · GitHub
