Fuzzing
Hoy lei una nota interesante sobre fuzzing para verificar aplicaciones web. El fuzzing no es algo nuevo y se usa precisamente para explorar fallos y vulnerabilidades en aplicaciones de diferente tipo y no sólo web, utiliza técnicas simples como "caja negra" aunque no es la única. Insisto, no es una técnica muy compleja, sin embargo es muy útil para empezar a verificar la seguridad de una simple aplicación, podría decirse que es un primer paso dentro de la inmensa cadena de verificar la vulnerabilidad de una aplicación con cierto nivel de complejidad.
Dentro de la nota se propone una aplicación open source: Wapiti cuyo enlace ingresa a un resumen del contenido y funcionamiento básico de la misma. Lamentablemente el enlace de descarga falla. Me gustaría probar el programa por lo que inisitiré en buscar otro enlace de descarga que funcione y les cuento en unos días... si encuentran algo por su cuenta, manden el enlace para probar la aplicación y brindarla a los lectores!!!!
Aplicaciones similares hay un largo listado, (añado la búsqueda).
Quizás algunos deben estar preguntándose sobre el concepto. Les paso una definición muy buena sacada de una monografía muy completa que permitirá ampliar el tema:
"Se llama fuzzing a las diferentes técnicas de testeo de software capaces de generar y enviar datos secuenciales o aleatorios a una o varias áreas o puntos de una aplicación, con el objeto de detectar defectos o vulnerabilidades existentes en el software auditado. Es utilizado como complemento a las prácticas habituales de chequeo de software, ya que proporcionan cobertura a fallos de datos y regiones de código no testados, gracias a la combinación del poder de la aleatoriedad y ataques heurísticos entre otros. El fuzzing es usado por compañías de software y proyectos open source para mejorar la calidad del software, por investigadores de seguridad para descubrir y publicar vulnerabilidades, por auditores informáticos para analizar sistemas, y, en última instancia, por delincuentes para encontrar agujeros en sistemas y explotarlos de forma secreta".
Actualizando sobre este material:
Encontré un enlace directo a sitio web de wapiti y quiero anexarlo, ahí van a encontrar información más completa y verán que existe un video que muestra como opera (no se ve muy nítido pero alcanza para ver el funcionamiento, ojo el video es mudo, solo muestra el proceso que realiza el programa sobre un sitio web y el resultado que se obtiene es ilustrativo).
Descargar WATIPI.
Dentro de la nota se propone una aplicación open source: Wapiti cuyo enlace ingresa a un resumen del contenido y funcionamiento básico de la misma. Lamentablemente el enlace de descarga falla. Me gustaría probar el programa por lo que inisitiré en buscar otro enlace de descarga que funcione y les cuento en unos días... si encuentran algo por su cuenta, manden el enlace para probar la aplicación y brindarla a los lectores!!!!
Aplicaciones similares hay un largo listado, (añado la búsqueda).
Quizás algunos deben estar preguntándose sobre el concepto. Les paso una definición muy buena sacada de una monografía muy completa que permitirá ampliar el tema:
"Se llama fuzzing a las diferentes técnicas de testeo de software capaces de generar y enviar datos secuenciales o aleatorios a una o varias áreas o puntos de una aplicación, con el objeto de detectar defectos o vulnerabilidades existentes en el software auditado. Es utilizado como complemento a las prácticas habituales de chequeo de software, ya que proporcionan cobertura a fallos de datos y regiones de código no testados, gracias a la combinación del poder de la aleatoriedad y ataques heurísticos entre otros. El fuzzing es usado por compañías de software y proyectos open source para mejorar la calidad del software, por investigadores de seguridad para descubrir y publicar vulnerabilidades, por auditores informáticos para analizar sistemas, y, en última instancia, por delincuentes para encontrar agujeros en sistemas y explotarlos de forma secreta".
Actualizando sobre este material:
Encontré un enlace directo a sitio web de wapiti y quiero anexarlo, ahí van a encontrar información más completa y verán que existe un video que muestra como opera (no se ve muy nítido pero alcanza para ver el funcionamiento, ojo el video es mudo, solo muestra el proceso que realiza el programa sobre un sitio web y el resultado que se obtiene es ilustrativo).
Descargar WATIPI.
