miércoles, agosto 15, 2007

Chorizo y Morcilla

Tengo que reconocer que la primera vez que lo vi “no me lo podía de creel”, pero sí, es así, cuando me lo envío Penyaskito pensé que era una coña, pero no, es un producto de seguridad de verdad y se llama Chorizo Scanner.

El Chorizo

Su funcionamiento es similar a otros productos que funcionan realizando el spidering mediante profile. Es decir, tu navegas a través del Chorizo (como si fuera un proxy) y él va registrando URLs, parámetros, llamadas GET, llamadas POST, ficheros descubiertos, etc… Cuando tengamos a Chorizo conectado nos sale un menú como el que se ve en la imagen de tal manera que al mismo tiempo se pueden ir realizando las pruebas de seguridad para detectar posibles fallos de XSS, SQL-Injections, Cross-Site-Request-Forging , RFI, Information Disclosure, etc…


Ya la herramienta es curiosa de por sí con ese nombre, pero es que han sacado un componente Server-Side que se instala como un plug-in PHP que se llama Morcilla.

La Morcilla

Este componente se lee el código PHP de tu servidor y comprueba la construcción de las funciones que comúnmente son responsables de estos fallos de seguridad:
Las funciones responsables de SQL Injectios, XSS y usadas en PHP_Shells:

mysql_query, mysql_unbuffered_query, mysql_db_query, mysqli_query, mysqli_prepare, mysqli::query, mysqli::prepare, shell_exec, exec, passthru, system, popen, proc_open, preg_replace, preg_replace_callback, usort, array_walk, uasort, mail, fopen, readfile, file_get_contents,...

Así como las funciones que se usan en Inyecciones de Código y RFI (eval() e include), el uso de variables globales y las comprobaciones de valores, comentarios e información mostrada en el código, etc...


El Chorizo junto con la Morcilla son de pago, pero existe una versión gratuita para un dominio con la que puedes conseguir que tu aplicación sea Chorizo Certified!.

¡Saludos Malignos!

PD: Se espera una versión en catalán llamada Butifarra-Edition.

3 comentarios:

  1. Hola Chema. Soy el anónimo de ayer del "Spectra usa Linux en los servidores". (Y no me regsitro porque sí soy muy vago). La verdad es que puse el comentario en broma, por mal meter. No te sigo el blog desde hace tanto como el link que me dajeste, no lo conocía (MS Linux), muy bueno. Pero ahora sí que me surge una duda con eso de los modelos de negocio sobre tí.
    Imagínate que tienes una empresa (no trabajas en ella, es tuya) y te con contratan para montar unos servidores. WEB, DNS, correo, intranet interna de intercambio documentos... algo típico para una pyme de hasta 50 personas.
    ¿Qué le meterías? MS o algún Linux. Las licencias de MS suben el precio. ¿Y si llega un competidor y le dice a tu cliente que se lo hace por mucha menos pasta porque usa Linux?
    Yo entiendo que si tienes varios técnicos que saben MS y Linux, su horas valen +- lo mismo que estén en MS o Linux montando; y se van a pasar +- el mismo trabajo haciendo uno que otro.
    Hay una cosa que dices "os lo ahorrais en licencias pero la pagas en otras cosas". En este caso no acierto a ver en qué.

    Por último te digo que si yo fuera el de la empresa (aún no, quién sabe en un futuro... :) ) me gustaría no perder el cliente y ganar la máxima pasta con la venta. Esto aunque es obvio, lo pongo porque hay mucho talibán :)

    Saludos.

    ResponderEliminar
  2. jejejejejeje, jejejejejeje, jejejejeje....

    vale ya, ya se me paso el ataque de risa, si quiere que te conteste el maligno :P, pero yo espero la respuesta con ansiedad :)

    Volviendo al topic, lo veo muy interesante, a mas de uno le vendría bien montar eso antes de poner alguna web en producción

    ResponderEliminar
  3. Hola anónimo!

    no hace falta que te registres, basta con que te pongas un nombre. ¿Las licencias suben el precio? mmmm. El precio de las licencias de software es infimo comparado con los gastos de una empresa. Al final lo que quiere un jefe es que el negocio funcione. El que quiera buena tecnología y buenos técnicos tendrá que pagarlos. Te aseguro que cuesta más caro la mano de obra que las licencias. Yo lo tengo claro, no miro el modelo de licencias o si es o no SL, yo elgio propongo lo que me parece mejor.

    ResponderEliminar