Ciao a tutti, ho pensato se potesse essere un messaggio in topic alla
lista
oppure no e mi sono detto… se non in topic in una ml di sviluppatori
a
chi posso mandarlo?
Ho lanciato da una settimana un nuovo blog sui temi di sicurezza
applicativa: http://armoredcode.com
Il tema molto semplice, parlare di come scrivere codice sicuro, come
fare
del testing con un occhio alle vulnerabilit delle web application,
essere
consapevoli di cosa sia un XSS, un CSRF o una SQL Injection non solo per
quello che leggiamo ad opera di Anonymous & C e molto altro.
Molti degli esempi che far saranno in ruby anche perch sto scrivendo un
sacco di gemme per automatizzare il mio lavoro di pentester e quindi a
parte C, per la parte web ruby il mio standard de facto.
Pi avanti ci saranno anche delle interviste a specialisti di application
security e sviluppatori, chi si vuole candidare per farsi fare qualche
domanda e venire pubblicato mi scriva pure in pvt… tanto io le mie 2 o
3
superstar che scrivono qui le ho gi individuate e presto mi far sentire.
Per tutti, spero vi appassionate ad armoredcode.com, che vi possano
interessare i temi trattati e che mi aiutiate a far crescere community e
awareness sui temi di sicurezza applicativa anche tra “noi”
sviluppatori.
Ciao
Paolo
“… static analysis is fun, again!”
life from an application security guy ~> http://armoredcode.com
On Mar 21, 2012, at 4:24 PM, Paolo P. wrote:
CUT
Molto bello, finito immediatamente tra i feed.
ngw
Ciao Paolo, un’iniziativa molto interessante su una tematica di cui so
(purtroppo) veramente poco. Spero sia un’occasione per farmi almeno una
cultura di base. Aggiunto immediatamente a google reader.
Ciao e grazie
Stefano
Good job! Adesso vogliamo contenuti succulenti 
On Wed, Mar 21, 2012 at 4:59 PM, Stefano P.
[email protected]wrote:
lista
essere
3
“… static analysis is fun, again!”
http://lists.ruby-it.org/mailman/listinfo/ml
–
Andrea R.
Lelylan | reThink your house
http://lelylan.com
Ciao a tutti e grazie per i feedback calorosi.
Un intervento mi mette out per un paio di settimane quindi diciamo che
dall’inizio aprile torner a postare.
Nell’ordine ecco i titoli dei prossimi 2 post:
“Understanding your risk” e parler della Top 10 Owasp dei 10
maggiori rischi a cui sono esposte le web apps
“Design a strong API usingSinatra”: questo sar un post in pi
puntate dove cercher di fare un recap su come progettare un’API in
Sinatra con un occhio attento alla sicurezza.
Poi alcuni, soprattutto d’oltremanica, mi hanno chiesto cose un po’
oldschool su come i compilatori e gli interpreti usano l’analisi
statica per valutare il codice che stiamo loro sottoponendo… per
prima un ripassino di bufferoverflow e formatbug doveroso. Ripassate
il vostro C
Un abbraccio
Paolo
2012/3/21 Andrea R. [email protected]
Ciao e grazie
Ho lanciato da una settimana un nuovo blog sui temi di sicurezza
sacco di gemme per automatizzare il mio lavoro di pentester e quindi a
interessare i temi trattati e che mi aiutiate a far crescere community e
[email protected]
–
Andrea R.
Lelylan | reThink your house
http://lelylan.com
Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml
–
“… static analysis is fun, again!”
life from an application security guy ~> http://armoredcode.com
Il giorno 21 marzo 2012 17:14, Paolo P. [email protected] ha
scritto:
Poi alcuni, soprattutto d’oltremanica, mi hanno chiesto cose un po’
oldschool su come i compilatori e gli interpreti usano l’analisi
statica per valutare il codice che stiamo loro sottoponendo… per
prima un ripassino di bufferoverflow e formatbug doveroso. Ripassate
il vostro C
Se posso suggerire, mostra come forzare queste vulnerabilit step by
step,
magari con tanto di app esempio su github :P.
Ciao,
Matteo
2012/3/21 Matteo C. [email protected]:
Il giorno 21 marzo 2012 17:14, Paolo P. [email protected] ha
scritto:
[…]
prima un ripassino di bufferoverflow e formatbug doveroso. Ripassate
il vostro C
Se posso suggerire, mostra come forzare queste vulnerabilit step by step,
magari con tanto di app esempio su github :P.
Questa una fantastica idea, grazie Matteo, tieni presente che per
alcune di esse come XSS o CSRF alcuni framework come Rails fanno gi
del lavoro in maniera trasparente… diciamo che mi dovr ingegnare ma
di sicuro una cosa che far.
A tal proposito vi segnalo che ho creato un progetto fake sul repo di
armoredcode.com per raccogliere
bug/segnalazioni/richieste/domande/messaggi:
Issues · armoredcode/feedback · GitHub
Ho preso spunto da Zach Holman, nel caso qualcuno legga anche quel blog
Paolo
–
“… static analysis is fun, again!”
life from an application security guy ~> http://armoredcode.com
Cool!
Sono molto carente specialmente in ambito di sicurezza, quindi direi che
ti
sei guadagnato perlomeno un lettore (almeno per il momento non posso
certo
partecipare attivamente _).
Il giorno 21 marzo 2012 17:32, Nicholas W. [email protected] ha
scritto:
Complimenti per l’idea, ma dovresti offrire un premio in denaro a chi
riesce a bucarti il blog
Anche se non credo che sia facile bucare sto Octopress (che gia’ il nome
mi incute paura) e nginx (anche se simpaticamente, il tuo nginx, mi dice
anche la sua versione: 1.0.14)
E poi ci voglio un link a http://www.corewars.org !!!
Complimenti ancora e scusa per le cavolate (davvero non resisto al troll
che e’ in me).
Davide
Il giorno 21 marzo 2012 16:24, Paolo P. [email protected] ha
scritto:
Ho lanciato da una settimana un nuovo blog sui temi di sicurezza
applicativa: http://armoredcode.com
Stupendo! Lo leggero’ con attenzione. Ora e’ tra i miei feed.
Andrea
Il giorno 21 marzo 2012 17:21, Paolo P. [email protected] ha
scritto:
magari con tanto di app esempio su github :P.
Questa una fantastica idea, grazie Matteo, tieni presente che per
alcune di esse come XSS o CSRF alcuni framework come Rails fanno gi
del lavoro in maniera trasparente… diciamo che mi dovr ingegnare ma
di sicuro una cosa che far.
Considera anche la mancanza di attr_accessible :D, che ha mietuto
notevoli
vittime :).
Ciao,
Matteo
2012/3/21 Davide R. [email protected]:
Complimenti per l’idea, ma dovresti offrire un premio in denaro a chi riesce a
bucarti il blog
Ciao Davide, grazie per la simpatica email.
In realt no… anzi… mi raccomando leggendo i post non sentitevi
pront ad imitare le gesta dei vari anonimous o altre crew… bucare i
siti un reato
Anche se non credo che sia facile bucare sto Octopress (che gia’ il nome mi
incute paura) e nginx (anche se simpaticamente, il tuo nginx, mi dice anche la sua
versione: 1.0.14)
Octopress un generatore di pagine statiche scritto in ruby… quindi
in realt tutto quello che vedete HTML + js… nessun DB alle
spalle… veramente poco da bucare
nginx aggiornato alla sua ultima versione
Ciao
Paolo
–
“… static analysis is fun, again!”
life from an application security guy ~> http://armoredcode.com
2012/3/22 Matteo C. [email protected]:
vittime :).
@Luca && @Nicholas, grazie mille
@Matteo assolutamente s…
–
“… static analysis is fun, again!”
life from an application security guy ~> http://armoredcode.com
ciao Paolo, mi unisco ai complimenti per il tuo nuovo blog, e non vedo
l’ora di
leggere un po’ di articoli, spero siano molto tecnici, perch mi
piacerebbe
rispolverare un po’ di cosine 
Il 25/03/2012 18:13, Paolo P. ha scritto:
In realt no… anzi… mi raccomando leggendo i post non sentitevi
pront ad imitare le gesta dei vari anonimous o altre crew… bucare i
siti un reato 
bucare siti reato legale, ma protestare un dovere etico 
so anche
che
cazzeggiare e far danni ai sistemi altrui vandalismo
tra le altre cose, ricordo che anni fa venivano usati come cavie i
paesi che
non erano ancora attrezzati con una legislazione che punisce i reati
informatici
(ecco perch molte crew si dichiarano brasiliane) 