OWASP Code Crawler 2.5
During the last two months we have been hardworking on the new upcoming release of OWASP Code Crawler 2.5. In this release, we have been busy making Code Crawler even more stable and fast.
What follows it’s a list of all the new features of Code Crawler.
The source screen has been improved and now supports threat colouring. This means that all threats found in the source code will be highlighted depending on their threat level. (See the screenshot below)
As you can also see the threat analysis box has been moved into the Source Tab. Clicking on any highlighted threat will also show details of the corresponding threat.
The reports feature has also been improved, the code is less prone to throw exceptions and we are confident marking it as “releasable”.
The loading process of a single file is now 80% faster than any previous releases (1.0 to 2.4) this because we have moved the colouring tasks to another thread and have had changed the whole loading’s logic. Just to give you an idea of how much code crawler is fast, loading a source code file of one thousand lines in Code Crawler will take less than half a second (analysis included).
Sasikumar, new developer who has joined the team, is working on the new code crawler’s engine. He has made a powerpoint presentation, available on slideshare.com, which illustrates the details of the new architecture as well as the advantages gained using it. Sasikumar is also responsible for the new code colouring feature.
Code Crawler still supports the OWASP Code Review project providing the Key Pointers scan, but no major updates will be released in the future.
The Visual Studio Integration will also replace the Remote Server Scan in this release. The application is capable of scanning an entire Visual Solution starting from a single csproj file (Visual Studio C# Project file). Code Crawler commence the process analysing the provided project file and digging in for all the source code files which are part of the project. At this stage, the engine will process all the relevant source files and will end up providing all the details while using the new engine.
Code Crawler 2.5 was supposed to be released at the end of September but, because the amount of the new features, it has been postponed to end of October.
Beta 2 Out
Beta release time.
As the owasp database system has been changed, please remember to install Microsoft SQL Server Express before the installation. Don't also forget, to keep in mind the fact this is a BETA software and some features are still not active.
Some good news are coming so;The idea is to build a software which its development it's full community driven. We are also trying to use and apply some features that will help you accomplish some of the most important tasks listed in Secure Programming with static analysis.
This software it's for everyone. Not only professionals. It can help you build a safer applications.
Give Static Analysis a try.
Download links:
http://www.cyphersec.com/software_archive/CodeCrawler.rar
http://www.cyphersec.com/software_archive/CodeCrawler_source.rar
[tools] Code Crawler Enhanced
Been working on Code Crawler Enhanced yesterday night, after a couple of hours came out with some features you might be interested to look at.
First, the code navigation system has been improved, you can now read the code and jump line by line using Visual Studio's like shortcuts.
Second, since most of the application I have to review are written in C#.net I thought implementing a C# code syntax highlight feature into the the code boxes would be cool.
Third, you can now Save and Print the analysis report in plain text files.
Code Crawler can be downloaded here, its weight about 152kb.
If you have any kind of suggestions please feel free to drop a line at 
[tools] tpf sold. Welcome Hydra Project
Ho venduto TPF. Durante gli ultimi mesi di sviluppo ho avuto modo di far provare TPF ad alcuni amici a giro per il mondo. Risultato, ho ricevuto una offerta abbastanza valida, la quale mi ha spinto a vendere il progetto (dall'analisi funzionale all'ultima versione del codice).
Sta di fatto che, non contento di aver già detto addio alla mia vita sociale per i prossimi mesi (libro per apogeo), ho riempito i sabato / domenica pomeriggio con un nuovo plan.
Sono sempre stato affascinato dalle bombe logiche. Per chi non sa cosa sono riporto la definizione di wikipedia.
"A logic bomb is a piece of code intentionally inserted into a software system that will set off a malicious function when specified conditions are met. For example, a programmer may hide a piece of code that starts deleting files (such as the salary database), should they ever leave the company.
Software that is inherently malicious, such as viruses and worms, often contain logic bombs that execute a certain payload at a pre-defined time or when some other condition is met. This technique can be used by a virus or worm to gain momentum and spread before being noticed. Many viruses attack their host systems on specific dates, such as Friday the 13th or April Fool's Day. Trojans that activate on certain dates are often called "time bombs".
To be considered a logic bomb, the payload should be unwanted and unknown to the user of the software. As an example, trial programs with code that disables certain functionality after a set time are not normally regarded as logic bombs."
Per chi ha avuto modo di vedere il firm Swordfish sapete di cosa parlo. Per il momento ho superato i primi code-experiment riguardanti il port scan. In particolare il codice è capace di rilevare le istanze SQL Server e MySQL ed effettuare il brute force sulle login. Per il modulo relativo alla rilevazione dei documenti "importanti" posso usare il codice di Pod Slurp. Alcune cose ancora sono da pianificare, ma spero di riuscire ad avere una versione RC entro la fine di Aprile. Per i sistemi AS400 sono indietro, riuscire a trovare uno amministratore as400 per qualche consulenza è difficile.
Se siete interessati al progetto: tools@cyphersec.com è in attesa di ricevere le vostre email.
Nuovi Tools in uscita
Periodo di pentesting estremo questo, se poi ci aggiungiamo la scrittura di un nuovo libro.. ahi ahi.. ho veramente pochissimo tempo per aggiornarmi su gli strumenti in uscita. Riporto i tools che secondo me sono "interessanti".
Tcpflow
Programma che cattura i dati trasmessi su connessioni tcp e le archivia in una forma che ne permetta l'analisi. Utile in ambienti di Intelligence Gathering, tcpflow ha una interessante funzione per il recupero e la ritrasmissione dei pacchetti.
Maggiori Informazioni - Download
SSA 1.52
SSA (Security System Analyzer) is free non-intrusive OVAL-Compatible software. It provides security testers, auditors with an advanced overview of the security policy level applied.
Features :
- OVAL-compatible product
- SCAP (Security Content Automation Protocol)
- Perform a deep inventory audit on installed softwares and applications
- Scan and map vulnerabilities using non-intrusive techniques based on schemas
- Detect and identify missed patches and hotfixes
- Define a patch management deployment strategy using CVSS scores
Maggiori Informazioni - Download
Medusa 1.4
What is Medusa? Medusa is a speedy, massively parallel, modular, login brute-forcer for network services created by the geeks at Foofus.net.
The Key Features are as follows:
- Thread-based parallel testing. Brute-force testing can be performed against multiple hosts, users or passwords concurrently.
- Flexible user input. Target information (host/user/password) can be specified in a variety of ways. For example, each item can be either a single entry or a file containing multiple entries. Additionally, a combination file format allows the user to refine their target listing.
- Modular design. Each service module exists as an independent .mod file. This means that no modifications are necessary to the core application in order to extend the supported list of services for brute-forcing.
Maggiori Informazioni - Download
Ignuma 0.0.5
Inguma is a free penetration testing and vulnerability discovery toolkit entirely written in python. Framework includes modules to discover hosts, gather information about, fuzz targets, brute force usernames and passwords, exploits, and a disassembler.
Riflessioni su ProxyWorker, il meccanismo di evasione di TPF
ProxyWorker è il namespace che si occupa della gestione e del comportamento del cambio Proxy di Traversal Path Fun.
Il suo compito è quello di rendere il tracciamento dell'utente TPF il più complicato possibile.
Per esempio: avere n (variabili) richieste provenienti da
- Hong Kong
- Repubblica Domenicana
- India
- Stati Uniti D'America (?!)
- Cina
- Svizzera
etc etc.. è sicuramente più "fastidioso" che ricevere 100 richieste fissa da una singola linea ADSL casalinga. Per il momento TPF dispone di una lista precompilata di proxies da utilizzare, ma grazie all'idea di una persona che non conosco TPF ha una nuova "originale" tecnica di evasione.
Partendo dal presupposto che ogni proxy viene verificato prima del suo utilizzo, da alcuni siti ritenuti affidabili ,TPF, tenterà il recupero RANDOM di una proxy list. In questo modo sarà possibile eludere alcuni sistemi analitici di tracciamento che hanno creato problemi a diversi nei precedenti mesi (e non aggiungo altro).
La feature è già attiva nella versione rilasciata ad alcuni beta testers.
In germania sarei considerato criminale.
TPF, work in progress
Sinceramente non mi aspettavo che questo tool venisse richiesto così tanto. Nato come POC, TPF è stato scaricato (in pochissimo tempo), al momento, 879 volte. Negli ultimi giorni ho ricevuto numerose email le quali chiedevano, in modi più o meno differenti, di continuare lo sviluppo di questo software.
A dire la verità lo sviluppo non è mai terminato, tra impegni di lavoro e non, ho aggiunto alcune features all'engime che vorrei convidere prima di un altro, permettetemi "importante", rilascio.
Changelog:
Scan Options form:
- Try First/Last Upper Case
Per ogni chiamata, effetuane un altra con i caratteri (primo - ultimo) in UpperCase. - Use Dictionary Attack
Genere le richieste a partire dalle pagine specificate nel file "MostCommonFiles.txt" - Brute Force
Genera richieste casuali (e qui c'è un ragionamento in corso) - Enable Proxy Evasion
Niente di particolare, le chiamate vengono effettuate passando per un proxy specificato dall'utente
Export form:
- txt, html, xml
Embed Browser:
Nell'applicativo è inclusa una istanza dell'oggetto webBrowser, il quale permette la navigazione del sito vulnerabile direttamente dall'applicativo.
Per Denis : si rilascio anche il pre-compilato 
Traversal Path Fun
Download (7.71kb)
Traversal Path Fun è un applicativo per l'automatizzazione del recupero files da siti che soffrono della vulnerabilità "Path Traversal"
Scritto in C# utilzza massivamente gli oggetti WebRequest / WebResponse per le interrogazioni.
Al momento è stato testato unicamente su siti riportati nell'advisory del 11 Settembre 2007 (Advisory: lanuovastagione.it ed altri [xss e le credenziali amministrative in chiaro).
L'archivio si compone dei seguenti files
- MainForm.cs
- MainForm.Designer.cs
- TPF.exe
- MostCommonFiles/commonfiles.txt
Nel file commonfiles.txt sono presenti i percorsi d'interrogazione dell'applicativo, ovvero, le pagine che il programma tenterà di recuperare tramite l'uso di componenti non verificati da parte dell'applicativo vulnerabile. Naturalmente, è possibile modificare questi termini di ricerca a proprio piacimento in base al sito vulnerabile rilevato.
Immunity Debugger
Lo aspettavo da tanto tempo. Finalmente, dopo 1 anno di sviluppo, Immunity ha rilasciato Debugger. Debugger, come dice il nome stesso, è uno strumento per debuggare ed effettuare il Reverse Enginering di applicazioni.
La descrizione è presa direttamente dal sito immunity.
Immunity Debugger is a powerful new way to write exploits, analyze malware, and reverse engineer binary files. It builds on a solid user interface with function graphing, the industry's first heap analysis tool built specifically for heap creation, and a large and well supported Python API for easy extensibility.
- A debugger with functionality designed specifically for the security industry
- Cuts exploit development time by 50%
- Simple, understandable interfaces
- Robust and powerful scripting language for automating intelligent debugging
- Lightweight and fast debugging to prevent corruption during complex analysis
- Connectivity to fuzzers and exploit development tools
E' possibile scaricare Immunity Debugger, previa registrazione, da questo link.
PS = Anche se usate da anni SoftIce, IDA Pro etc... provatelo... vale.
“Hack the World”. Come usare Metasploit
Cosa è?
Metasploit è una piattaforma per la creazione di exploits. Il framework è utilizzato maggiormente da professionisti del settore per l'esecuzione di penetration testing. L'intero framework è scritto in C ed assembler.
Come funziona?
Metasploit si compone di tools, librerie e module oltre ai componenti dedicati alla user interface. Gli exploits disponibili per metasploit possono essere configurati in ogni singola parte per meglio adattarsi al soggetto target in questione. E' possibile selezionare un payload da eseguire al termine dell'esecuzione del exploit per permettere all'utente di eseguire codice ed/o qualsiasi altra operazione si ritenuta necessaria.
Quali sono le modalità di utilizzo?
Le modalità di utilizzo sono principalmente due: Console, Web Interface. Per la web interface è necessario installare alcuni componenti aggiuntivi, così come per la GUI "sperimentale". Personalmente ho incontrato difficoltà con l'interfaccia web. Fai per la velocità ed esecuzione dei comandi, fai perchè ormai senza console non ci posso più stare, Metasploit secondo me, andrebbe utilizzato solo in forma console.
Come s'installa?
Sul sito ufficiale sono disponibili delle guide all'installazione per le maggiori distro attualmente in circolazione.
| Microsoft Windows XP | Guida Installazione |
| Mac OS X | Guida Installazione |
| Gentoo Linux | Guida Installazione |
| Ubuntu | Guida Installazione |
| Fedora Core |
Dove posso imparare ad utilizzare Metasploit?
Data la sua natura, è normale che Metasploit risulti difficile da usare le prime volte. Ma fortunatamente, grazie ad alcuni buoni libri e a qualche corso è possibile avere il massimo da questo framework.
Oltre ai video linkati nella sezione gallery del sito ufficiale, si può imparare a capire il funzionamento delle procedure di testing.
Esempi di utilizzo e risorse
| Video | This video covers the use of Metasploit, launched from the Auditor Boot CD, to compromise an unpatched Windows XP box by using the RPC DCOM (MS03-026) vulnerability |
| Presentazione (pdf) |
Presentazione di HD Moore a Cansecwest 2006. |
| Video | Exploring Metasploit 3 and the New and Improved Web Interface- Part 1 |
| Video | Exploring Metasploit 3 and the New and Improved Web Interface- Part 2 |
| Libro | Libro disponibile su en.wikibooks.org |
F.A.Q:
Q: Ci sono alternative commerciali a Metasploit?
A: Si, ci sono alcuni framework commerciali con licenze da svariate migliaia e migliai di dollari che possono essere delle valide alternative a Metasploit.
Q: Di che stato di salute gode lo sviluppo?
A: Lo stato di salute di cui gode lo sviluppo è decisamente buono, i maggiori exploit vengono convertiti in formati utilizzabili da Metasploit in breve tempo. Per quanto riguarda il core e le funzionalità principali del software, un team dedicato è sempre al lavoro.
Q: Ma non fa troppo script kiddie?
A: La filosofia che ha accompagnato ed accompagna lo sviluppo di metasploit fin dalla sua ideazione è stata quella di creare un software per effettuare pen-testing.
