OWASP Code Crawler

¿Porqué tenemos que esperar a que se realice sobre nuestra aplicación web un test de penetración, un escaneo de vulnerabilidades o peor aún a que esta sea atacada por una vulnerabilidad no corregida a tiempo?

Lo primero es programar de forma segura, o por lo menos manteniendo una clara visión de las posibles fallas de seguridad que pudieran existir en nuestras aplicaciones. Y cómo ya hemos hablado del tema con anterioridad, así como hemos hablado de las guías de desarrollo OWASP, no voy a aburrirles con el tema.

Es cierto que en muchas ocasiones la revisión de vulnerabilidades en código ante los típicos "deadlines" improrrogables queda relegada a un último plano, sin embargo hoy vamos a hablar de una utilidad que puede ahorrarnos muchas horas en estos casos y por lo menos nos va a permitir ubicar las posibles fallas en nuestro código.

Estoy hablando del OWASP Code Crawler que es una herramienta de depuración de posibles vulnerabilidades en código fuente para código en .NET y J2EE/JAVA. Puedes descargarlo aquí.

Es una aplicación desarrollada en .Net 3.5, que se basa en una maquinaria muy afinada de control de Expresiones regulares, que nos permitirá encontrar errores tradicionales y nos permitirá utilizar herramientas como un calculador DREAD (calculador de riesgo de una condición o amenaza de seguridad).

Hasta la próxima...