Ok, mas o que é isto do Fuzzing e para que serve?

Nada melhor do que usar a definição na Wikipedia, que define o Fuzz testing ou fuzzing como sendo uma técnica de testes a software que passa input inválido, inesperado e aleatório para uma determinada aplicação de software. Se o programa falhar (por exemplo se crashar), é possível detectar os defeitos do mesmo.

No caso específico do JBroFuzz, trata-se de um fuzzer específico para aplicações web. O JBroFuzz pode ser utilizado para enviar pedidos fuzzing para aplicações web, através do protocolo HTTP ou HTTPS.

A ferramenta gera pedidos, envia-os para a aplicação em cause e regista as respostas que recebe de volta. Não tenta identificar se um determinado site é vulnerável ou não, necessitando depois intervenção e análise manual.

Mais uma ferramenta da OWASP, a juntar à colecção de excelentes recursos disponibilizados gratuitamente pela organização.

A falta de formação, ou a formação deficiente de quem tem que desenvolver aplicações web-based, pode levar ao desenvolvimento de aplicações que, apesar de poderem ser excelentes do ponto de vista funcional, são péssimas do ponto de vista da segurança.

Acho por isso que a formação de programadores que desenvolvem aplicações para a web, deve conter forçosamente uma componente muito séria de segurança aplicacional. Os programadores devem compreender que aquilo que fazem a nível do código-fonte de uma determinada aplicação, afecta directamente a segurança da mesma.

A OWASP possui uma excelente ferramenta de apoio a esta formação. Esta ferramenta dá pelo nome de WebGoat, e foi desenvolvida com o objectivo de ser propositadamente insegura e vulnerável de forma a demonstrar as principais vulnerabilidades em aplicações web, e mostrando ainda de forma exaustiva e educativa, como as mesmas funcionam, quais os erros que lhes deram origem e qual o impacto na aplicação em causa. O WebGoat foi desenvolvido em Java e a pensar nos programadores de aplicações Java (J2EE).

O WebGoat é um excelente recurso de formação nesta área, mas não é o único. Existem muitos mais. Para quem desenvolve aplicações em PHP, um excelente recurso é a Mutillidae. A Mutillidae é composta por um conjunto de scripts desenvolvidos em PHP que implementam a OWASP Top 10.

O principal objectivo desta ferramenta é o de demonstrar de uma forma fácil os principais ataques a aplicações web e que vêm reportados no OWASP Top 10. Mas à semelhança do que acontecia com o WebGoat, não é o único recurso. Podem igualmente encontrar aqui uma lista de excelentes ferramentas com o objectivo de ajudar na formação de quem faz desenvolvimento para a Web e que necessita perceber um pouco mais sobre a segurança das mesmas.

Parece-me que existem cada vez menos desculpas sobre o desconhecimento de vulnerabilidades ou para a falta de formação sobre a forma como as eliminar das diversas aplicações web desenvolvidas.

Esta é uma aplicação na linha das que iremos ver surgindo no mercado de produtos anti-virus/anti-spam e de outro tipo de segurança contra ameaças da Internet, à medida que estas aplicações web vão ganhando utilizadores e popularidade na Internet.

A equipa que desenvolve e distribui a distribuição Backtrack anunciou recentemente que a versão final do BT4.

O BT4 é composto por um conjunto alargado de ferramentas que permitem efectuar testes de penetração, num ambiente integralmente dedicado a profissionais de segurança. O BT permite um leque alargado de opções de instalação e de execução:
1. Pode correr nativamente na máquina
2. Pode ser executado como um Live CD
3. Pode ser executado a partir de uma pen USB

Enfim, o BT4 é uma ferramenta fundamental para quem está trabalha na área de segurança de informação, e tem como principal actividade a realização de testes à segurança de sistemas – em particular testes de penetração. O BT4 vem (bem) apetrechado com as mais recentes versões de todas as ferramentas necessárias à realização da sua actividade profissional.

Como não poderia deixar de ser, queria desde já lançar aqui um alerta para que não hajam posteriores confusões. O BT4, como qualquer ferramenta de segurança informática (especialmente aquelas mais vocacionadas para a realização de testes de vulnerabilidades), podem ser utilizadas para fins maléficos. É completamente desaconselhada a utilização deste tipo de ferramentas para fins ilícitos, sob pena de poderem ser punidos de acordo com a legislação em vigor. O aviso à navegação fica feito.

• BackTrack 4: é uma distribuição de Linux centrada em pen-testing, oferecendo as ferramentas necessárias para conduzir os mais diversos testes de penetração, sem que seja necessário a instalação ou configuração de qualquer uma das ferramentas;
  
• OWASP Live CD: é um projecto do OWASP, que reúne igualmente num único CD (distribuição Linux) todas as ferramentas e documentos do OWASP, assim como mais um conjunto de ferramentas de segurança open-source.