Todos os posts tagados pen testing

Skipfish - um Web Security Scanner do Google

por David Sopas em 22 de Março de 2010 em Ferramentas com 0 comentários Tweet

Um WSS (Web Security Scanner) automático programado em linguagem C e compatível com vários sistemas operativos. Esta é a descrição de uma nova ferramenta do Google que ainda está numa versão beta.

Segundo a página do projecto, o skipfish é:

  • Rápido
  • Fácil de usar
  • Tecnologia de ponta em lógica de segurança

Isto pareceu-me muito show e pouco go e aquando conversa com colegas que já testaram este ferramenta, parece que o skipfish não detecta falhas SQL Injection básicas e que encontra muitos falsos positivos.

Como ainda não testei não vou colaborar com a minha opinião apenas publicar e noticiar esta nova iniciativa open source do Google.

Página do projecto [aqui] e download directo [aqui].

Just4Meeting - Sessões de Treino e Workshops

por David Sopas em 14 de Março de 2010 em Eventos com 0 comentários Tweet

De 25 a 27 de Junho vai-se realizar em Cascais, mais propriamente no Hotel Vila Galé Cascais, a primeira edição do Just4Meeting.
O objectivo deste evento é juntar profissionais da área (Segurança de Informação, Resposta a Incidentes, Pentesting e Avaliação de Segurança) e fornecer informações concretas para enriquecer e, quem sabe, “vender” aos seus clientes e gestores o seu serviço.


Just4Meeting é organizado pela empresa ShadowSec, constituída por diversos profissionais reconhecidos na área de segurança de informação que esperam que esta primeira edição seja algo bastante positivo e que vá aumentar o investimento na segurança no mercado corporativo. Para isso podem contar com sessões de treino e workshops no J4M.

Na agenda podemos encontrar diversas sessões e workshops interessantes:

  • Malware Analisys workshop
  • 100% hands-on W3af crash course
  • DDoS workshop
  • Advanced SQL Injection – workshop
  • All Your Packets Are Belong to Us – Attacking Backbone Technologies – lecture
  • Can we trust GSM? – workshop
  • Can Data Leakage Prevention Prevent Data Leakage? – workshop
  • ModSecurity Training

De salientar a participação de Karsten Nohl sobre GSM e ainda o curso de ModSecurity leccionado por Christian Bockermann.

Podem obter mais informações no website oficial e não percam esta oportunidade de estar presente neste grande evento em Portugal.

Samurai LiveCD

por David Sopas em 8 de Março de 2010 em Ferramentas com 1 Comentário Tweet

Este LiveCD - Samurai Web Testing Framework é uma compilação razoável de ferramentas vocacionadas para pen testing em aplicações web. Segundos os autores, foram escolhidas as ferramentas mais conhecidas na área e pré-instaladas no sistema.

Página do projecto [aqui] e secção de download [aqui].

Watcher - um plugin de análise de segurança web

por David Sopas em 1 de Março de 2010 em Ferramentas com 0 comentários Tweet

Este plugin para o Fiddler HTTP Proxy surpreendeu-me pela positiva.
O Watcher, para além de ser bastante versátil e intuitivo, demonstrou uma capacidade de detecção razoável e sem produzir muito lixo nos relatórios.

Segundo os responsáveis, este plugin é seguro e adaptado em Cloud Computing, em alojamentos partilhados e em ambientes de alojamento dedicados, visto ser uma ferramenta de análise passiva.

Watcher pode ser útil a pen-testers, web developers e auditores porque:

  1. Oferece vários tipos de avaliações de vulnerabilidades
  2. Testa validações
  3. Compatível com conformidades PCI

Podem obter mais informações do projecto [aqui].

Mais recentes →