O Websecurify é uma framework de testes de segurança que permite identificar vulnerabilidades usando automatização de um browser avançado e técnicas de fuzzing. Esta framework foi programada em Javascript e é executada com sucesso em diversas plataformas que incluem os browsers mais recentes com suporte HTML5, xulrunner, xpcshell, JAVA, V8 e outros.

Já testei em Linux e em Mac, onde reparei grandes diferenças de velocidade, com o Linux (distro Ubuntu) a ser bem mais rápido em termos de análise de cada teste. Interessante o funcionamento e sempre é mais uma ferramenta open-source que podemos usar em pen-testing.

Projecto – Download [Windows - Mac - Linux]

DS

MiniFuzz é uma nova, lançada ao público ontem, ferramenta disponibilizada pela Microsoft para ajudar a detectar falhas de segurança em código que podem expor vulnerabilidades na manipulação de ficheiros. Esta ferramenta cria variações aleatórias múltiplas do índice do ficheiro e passa para a aplicação para testar o código na tentativa de expor comportamentos inesperados ou com funcionalidades inseguras.

Esta ferramenta de cerca de 2Mb (instalação) é suportada no novo Windows 7, Vista e XP.

Pode ver mais informação/instruções na página de download.

Saíu ontem na Abysssec um artigo sobre como escrever um fuzzer para um browser.  No artigo aproveitam a maneira, como por exemplo, o Firefox adicionou a capacidade de resposta ao HTML5 com exemplos e como realmente pensar out-of-the-box para descobrir as falhas neste tipo de software.

Não é por nada que 90% do malware/spyware se aproveita de falhas não corrigidas dos browsers para se propagarem.

Para quem não sabe, um fuzzer é uma técnica usada por especialista de segurança para testar um pârametro numa aplicação. Os mais usuais testam por buffer overflows, manipulação de erros e format strings.