FG-Injector es una herramienta que facilita la tarea del pentester en la explotación de vulnerabilidades del tipo inyecciones SQL.
Incluye un proxy que permite interceptar pedidos HTTP y modificarlos a voluntad del analista, un módulo de escucha de tráfico HTTP y un motor de inferencia para facilitar la automatización de explotación de inyecciones SQL.
EL módulo del motor de inferencia automatiza la generación e inyección de sentencias SQL necesarias para la explotación de inyecciones SQL de todo tipo (ordinarias y a ciegas). La herramienta permite tratar con distintos DBMS: MS SQL Server, MySQL y PostgresSQL.

+ Documentación + Descarga

StateSim es un prototipo simulador de Statecharts fácil de instalar, ejecutar y usar y que contempla la mayor parte del formalismo.

La aplicación está desarrollada en Java por lo que corre virtualmente sobre cualquier plataforma.

Los Statecharts pueden generarse en OpenOffice Draw. StateSim toma un archivo ODG y una secuencia de eventos indicada por el usuario, calcula todas las transiciones de estados y genera un nuevo archivo ODG en el cual se señalan los estados finales alcanzados.

Los requerimientos bajo entorno Linux son los siguientes:

• Open Office 2.3.0 o superior
• Java SE Runtime Environment 1.6 o superior
• Acceso a través de la variable PATH a los binarios: cp, mv, rm, zip y unzip

Bajo entorno MS Windows los requerimientos son:

• Open Office 2.3.0 o superior
• Java SE Runtime Environment 1.6 o superior
• Acceso a través de la variable PATH a los binarios copy, move, del, rd y 7z.exe (puede descargarse gratuitamente desde http://www.7-zip.org.)

La herramienta se instala descomprimiendo el archivo stateSim.tar.gz.

La distribución incluye un documento (ManualUsuarioYProgramador.pdf) que describe la herramienta y su forma de uso.

+ Descarga + Hash SHA-256

Repose 1.0 permite generar prototipos de requerimientos funcionales para sistemas basados en interfaces gráficas utilizando solo software de oficina. Los prototipos se definen dibujando las interfaces en OpenOffice Draw y especificando casos de uso para cada prototipo en una planilla de cálculo de OpenOffice Calc.

Luego se utiliza un script para generar el prototipo en base a esos documentos (el script ejecuta un programa Java que es el núcleo de Repose).

Más tarde, el ingeniero puede ejecutar el prototipo delante del cliente y analizar el comportamiento corriendo los casos de uso definidos. Si algún caso de uso o la interfaz no satisface al cliente, el ingeniero simplemente modifica la planilla o el dibujo de la interfaz y vuelve a ejecutar el script para generar un nuevo prototipo.

La versión de Repose 1.0 disponible es aún una prueba de concepto experimental pero que presenta suficiente funcionalidad como para ser usada en casos reales.

Repose 1.0 es un programa Java que interactúa con Open Office. Entonces los requisitos para instalar Repose 1.0 son los siguientes:

• Linux o MS Windows (Vista, XP, 2003, 2000, etc.)
• Java SE Development Kit 6 o superior
• Open Office 2.3.0 o superior (tener en cuenta que Repose usa la definición de Open Document de Open Office la cual suele variar de versión en versión por lo que podrá dejar de funcionar en futuras versiones de Open Office)

Para instalar Repose 1.0 solo hay que descomprimir el archivo Repose-1.0.tar.gz en cualquier directorio.
La distribución incluye manuales de usuario en castellano.

+ Descarga + Hash SHA-256

Fastest es una herramienta de testing basado en modelos. La herramienta recibe una especificación Z y genera de forma casi automática casos de prueba derivados de esa especificación.

La versión actual de Fastest sólo genera casos de prueba abstractos (es decir casos de prueba escritos en Z) y no contempla todo el lenguaje Z aunque sí una parte significativa y muy útil.

Fastest implementa el Test Template Framework (TTF) descripto en:

P. Stocks and D. Carrington, "A framework for specification-based testing", IEEE Transactions on Software Engineering, vol. 22, no. 11, pp. 777--793, Nov. 1996.

P. Stocks, "Applying formal methods to software testing", Ph.D. dissertation, Department of Computer Science, University of Queensland, 1993.

H. M. Hörcher and J. Peleska, "Using formal specifications to support software testing", Software Quality Journal, vol. 4, pp. 309--327, 1995.

Por otro lado, Fastest responde a una arquitectura cliente/servidor y de invocación implícita lo que brinda un mejor desempeño y la posibilidad de introducir cambios de forma sencilla. La herramienta usa el framework CZT (http://czt.sourceforge.net).

Fastest funciona tanto sobre Linux como sobre MS Windows y requiere sólo Java SE Runtime Environment 1.6 o superior.

Para instalar la herramienta solo debe descomprimir el archivo Fastest.tar.gz. La distribución incluye un pequeño manual en inglés.

# The Fastest 1.3.5 User's Guide (pdf) # Especificación modificada del software de control de una caldera de vapor (pdf) # Certificación de los teoremas de eliminación (tex)
+ Descarga + Hash SHA-256

Flowx es un módulo de seguridad para un sistema operativo Linux, en su versión 2.6, el cual busca imponer políticas de seguridad basadas en un modelo basado en la no interferencia y el control del flujo de la información. El objetivo es proteger al sistema tanto de caballos de Troya como de ciertas clases de canales encubiertos que los mecanismos de control de acceso tradicionales no pueden evitar.

El módulo se implementará gracias al framework de seguridad que introduce Linux en sus kernels 2.6, llamado Linux Security Modules (LSM), el cual provee diferentes hooks en distintos puntos críticos del kernel, con la intención de que un módulo implemente chequeos, comprobaciones o diferentes tareas a la hora de que cada hook sea invocado.

Como resultado se ha obtenido un prototipo de seguridad que además de asegurar la confidencialidad de la información del sistema, no penaliza de manera significativa la performance de éste y es 100% compatible con el software existente.

# Especificación y diseño de Flowx (pdf) # Modelo formal de Flowx (pdf)
+ Descarga

FG-SToP es una herramienta que permite implementar varios ataques contra los protocolos de capa de enlace STP y RSTP (herramienta en desarrollo).