AppSec: Static Application Security Testing (SAST) Free Tool Map

Posted on February 23, 2012 by Simon Roses

[Español] Cuando realizo un análisis de seguridad en una aplicación intento combinar el uso de Static Application Security Testing (SAST) y el Dynamic Application Security Testing (DAST) para obtener los mejores resultados. Dejamos DAST para otro post.

[English] When I’m performing a security analysis of an application I try to combine the use of Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST) for best results. DAST we leave for another post.

Es cierto que estas herramientas no son perfectas pero hoy en día son una necesidad. Muchos expertos de seguridad están en contra de utilizar estas herramientas alegando que no son útiles pero no es cierto.

It is true that these tools are not perfect but today they are a necessity. Many security experts are against using these tools claiming that they are not useful, but it is not true.

Este tipo de herramientas tienen sus limitaciones pero son de gran ayuda para encontrar algunos tipos concretos de vulnerabilidades de forma rápida y permitirnos dedicar nuestro tiempo a vulnerabilidades más complejas.

Such tools have their limitations, but are helpful to find quickly some specific types of vulnerabilities thus allowing us to devote our time to more complex vulnerabilities.

Aunque existen diversos proyectos gratis que podemos utilizar (los que trato en este post), sin duda si queremos utilizar una herramienta profesional debemos invertir en productos comerciales, que generalmente son herramientas más sofisticadas.

Although there are various free projects we can use (which I cover in this post) no doubt if we want to use a professional tool we must invest in commercial products, which generally are more sophisticated tools.

A continuación podrás encontrar un mapa interactivo de herramientas SAST gratis que puedes utilizar para los desarrollos en tu organización y determinar su seguridad. El uso de estas herramientas debería ser obligatorio en la fase de Implementación del SDLC.

Below you will find an interactive map of free SAST tools that developers in your organization can use and determine its safety. The use of these tools should be mandatory in the Implementation stage of the SDLC.

Existen muchas más herramientas pero las aquí presentadas son en mi opinión algunas de las más interesantes. Si conoces herramientas que deberían estar en el mapa te agradecería que me lo comentaras para incluirlas.

There are many more tools but the here presented are in my opinion some of the more interesting. If you know tools that should be on the map please let me know to include them

Qué herramienta SAST utilizas? Estás contento con los resultados?

Do you use SAST tools? Are you happy with the results?

— Simon Roses Femerling

 Uso del mapa:

  • Sitúa el ratón encima de las herramientas para ver su descripción.
  • Botón derecho para abrir la pagina Web de la herramienta.

Map Legend:

  • Put mouse over the tool to see its description.
  • Righ-click to open the Web page of the tool.

Free SAST Map v.1

Posted in Pentest, SDL, Security | Tagged , , , , , | 2 Comments

VULNEX, up & running

Posted on February 13, 2012 by Simon Roses

[Español] Por fin VULNEX, el proyecto en el que llevo meses trabajando, ha visto la luz aunque sin duda estamos en los comienzos y queda mucho trabajo duro por delante pero con gran ilusión.

[English] Finally VULNEX, the project I’ve been working on for the past few months, has seen the light but undoubtedly we are at the beginning and much hard work remains ahead but with great enthusiasm.

VULNEX nace con la aspiración de ser un proveedor de servicios y formación ofensivos y defensivos altamente especializados para cubrir las necesidades actuales de nuestros clientes. Los tiempos han cambiado y demasiada gente no entiende las nuevas necesidades de seguridad pero VULNEX está para ayudar. Un factor diferenciador es que VULNEX se caracteriza por un fuerte I+D que poco a poco iremos publicando.

VULNEX was created with the aspiration to be a provider of highly specialized offensive and defensive services and training to meet the current needs of our clients. Times have changed, and too many people do not understand the new security needs but VULNEX is here to help. A differentiating factor is that VULNEX is characterized by a strong R&D that we will start publishing soon.

Creemos que VULNEX ofrece algo más a nuestros clientes por lo que os invitamos a visitar la página Web y por supuesto a contactarnos. Nos encantaría colaborar contigo!

We believe that VULNEX offers something else to our customers so we invite you to visit the website and of course contact us. We are looking forward to working with you!

— Simon Roses Femerling

Posted in Business, Pentest, SDL, Security, Technology | Tagged , , , , | Leave a comment

Infiltrate 2012 Report

Posted on January 18, 2012 by Simon Roses
[Español] El pasado 12 y 13 de enero tuvo lugar la segunda edición del congreso ofensivo Infiltrate organizada por ImmunitySec, en cuya primera edición ya estuvimos. A pesar que no todas las charlas fueron tan espectaculares como el año pasado sigue siendo un congreso altamente ofensivo y de cita obligada para cualquier experto en seguridad.  
[English] The second edition of Infiltrate, the offensive conference organized by ImmunitySec, was held last 12 and 13 of January, which first edition we attended as well. Despite the fact that not all talks were as spectacular as  last year it is still a must for any security professional since it is a highly offensive conference.  
 
El primer día comenzó con un divertido keynote sobre dos temas: conferencias de seguridad y ciberguerra
(ambas temáticas cubiertas en este blog 1 y 2), y la verdad es que coincido en muchos aspectos con las conclusiones  del ponente. Algunas charlas destacadas del primer día fueron sobre explotación de heap y sandboxing. 
The first day started with a funny keynote on two issues: security conferences and cyber war (both thematics covered in this blog 1 and 2), and the truth is that I agree in many respects with the presenter’s conclusions. Some outstanding talks on the first day were about heap exploitation and sandboxing. 
   
El segundo día el nivel de todas las presentaciones fue altísimo y me gustaron todas. La mejor sin duda fue la de atacar sistemas de tarjetas de acceso por su innovación, aunque recomiendo verlas todas. Las charlas fueron filmadas por lo que creo que estarán disponibles próximamente.  
The second day the level of all the presentations was amazingly high and I liked them all. The best no doubt was attacking proximity card access systems, so innovative, but I recommend watching them all. The talks were filmed so I think they will be available soon. 
 
  Además  qué decir de la ciudad de Miami, un sitio genial para salir de fiesta con otros hackers y pasarlo bien J
 
Sin duda uno de los mejores congresos por sus charlas técnicas y la posibilidad de conocer personas  interesantes, me llevo buenas amistades ;) 
 
Kudos a todo el equipo de ImmunitySec por una excepcional organización y su disposición para que todo salga bien. 
 
  N os vemos en la tercera edición! 
 
In addition what to say of Miami city, a great place for partying with other hackers and have fun J 
Undoubtedly one of the best conferences for their technical talks and the possibility of meeting interesting people, I’ve made good friends ;)
 
  Kudos to all ImmunitySec team for an exceptional organization and their availability to make sure that everything goes well. 
 
  See you in the third edition!
 
   — Simon Roses Femerling
Posted in Conference, Hacking, Pentest, Security, Technology | Tagged , , , , , , , , , | Leave a comment