Michal Zalewski (något förvånande fungerar inte coredump.cx domänen just nu) numera anställd vid Google har i kontext av den anställningen skrivit Skipfish:
Skipfish - web application security scanner
Att läsa igenom de kontroller den gör visar om något hur området webbapplikationer utvecklats och förändrats de senaste åren sedan jag skrev min "lilla" applikationer för att testa säkerhetsskanners mot:
"För användning för att förklara säkerhetstestning för utbildning liksom bättre kunna testa mjukvara som automatiskt söker efter säkerhetsproblem och med målsättningen att kanske kunna emulera vissa problem utvecklade jag också ett eget litet ramverk (egentligt alldeles för dåligt strukturerat för att kallas ramverk). Det simulerar vissa säkerhetslösningar och kunde emulera vissa säkerhetsproblem samt hade funktioner för att presentera vad som hände. Förutom vissa ganska begränsade egna behov för utvärdering av en viss mjukvara för automatisk säkerhetstestning gjorde jag den huvudsakligen därför att jag var intresserad av att lära mig en viss teknik. Den skrev jag tidigt under 2004."
Från: Hans Husman CV: Egna projekt - 2. EGNA PROJEKT: MJUKVARA
Egentligen om man igen skulle göra något liknande projekt vore det mer intressant att göra något rörande säkerhetsskanners och i dom områdena där alla jag känner till är ofullständiga. Till exempel SSL och DNS även om det skulle kräva viss riktad och anpassad information. Det är två områden jag förövrigt gissar kan komma att bli bland de mer problematiska de kommande åren och SSL senare än DNS (DNS har ju alltid varit problematiskt men på en kunskapsmässigt trivial nivå).
Foto:
Kommentera