OWASP: i vincitori dell'Autumn of Code 2006

IT Colloquia | Ottobre 2006 | Owasp | Security
061009-owasp Matteo Meucci, l'unico italiano tra i 9 vincitori, ci presenta e commenta l'iniziativa.
The Open Web Application Security Project (OWASP) ha recentemente lanciato un nuovo progetto intolato "OWASP Autumn of Code 2006" (AoC) che è diretto a finanziare la sponsorizzazione dei progetti OWASP.
Il 18 Settembre è stata conclusa la fase di "call for participation" e recentemente è stata pubblicata la lista dei progetti selezionati per essere sponsorizzati.
  1. WebScarab NG – Rogan Dawes
  2. Live CD – Joshua Perrymon
  3. CAL9000 – Chris Loomis
  4. SiteGenerator and ORG – Mike de Libero
  5. Pantera – Simon Roses
  6. Web Goat – Sherif Koussa
  7. Testing Guide – Matteo Meucci
  8. OWASP .NET Tools – Boris
  9. OWASP Website and Branding – Aaron M. Holmes
Ne parliamo con Matteo Meucci, OWASP-Italy Chair, CISSP, CISA, uno dei vincitori

IsacaRoma: Ciao Matteo e grazie per essere ancora con noi. Ci descrivi il tuo " Testing Guide "?

Matteo Meucci: La OWASP Testing Guide vuole essere una guida di riferimento per chi intende effettuare un'analisi di sicurezza di un applicativo web (Web Application Penetratin Testing). Dopo aver realizzato una Checklist con l'insieme dei controlli da implementare grazie a Dan Cuthbert nel 2003 ed una prima versione della guida grazie a Eoin Keary, adesso si vuole arrivare ad una guida che sia la più completa ed esauriente possibile riguardo al testing delle web application.

IR: Hai qualche osservazione anche sugli altri progetti vincitori?

MM: Si sono tutti ottimi progetti molto interessanti. Considero WebScarab uno dei migliori strumenti per eseguire un test di sicurezza, e sono lieto che sia questo che WebGoat riusciranno, grazie all'OWASP AoC ad arrivare ad livello maturo e stabile.

IR: Che novità ci sono in OWASP ed in particolare nel capitolo italiano? Su che progetti vi state focalizzando?

MM: Ci molte novità interessanti: innanzitutto i membri di OWASP-Italy forniranno una grande mano alla realizzazione della Testing Guide, a partire da Alberto Revelli (autore tra l'altro di sqlninja) e Carlo Pelliccioni. Paolo Perego ha appena ideato e creato il nuovo progetto OWASP Orizon focalizzato sulle tematiche di Code Review; Stefano di Paola a Giorgio Fedon, oltre a rilasciare diversi exploit soprattutto per Firefox stanno scrivendo diversi paper su AJAX Security; Luca Carettoni ha scritto diversi articoli sulla Web Application Security; Antonio Parata e Daniele Bellucci sono specializzati su tecniche di SQL Injection: Daniele ha appena rilasciato SQLMap, un utile strumento per SQL Testing.

IR: Come sta andando il gemellaggio con CLUSIT?

MM: Il gemellaggio con il CLUSIT ha dato i suoi primi frutti: abbiamo realizzato il quaderno CLUSIT dal titolo: "La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP" il cui abstract è liberamente disponibile (pdf, 250 K) e stiamo realizzando diversi seminari a nome di CLUSIT Education.

IR: Grazie Matteo e a presto

MM: Grazie a voi.

IsacaRoma Newsletter link