On Thursday 17 January 2008, Mailing List Manager wrote: > ----- Forwarded message from Andre <bugpezz(at)gmail.com> ----- > From: Andre <bugpezz(at)gmail.com> > To: ml(at)sikurezza.org > Subject: Applicazione Web di Test > > Ciao a tutti, > mi trovo a dover testare i tool per scanning di vunerabilit? in > applicazioni web : Nikto,ParosProxy,WebScarab. Al fine di riportare dei > risultati omogenei , ho cercato delle applicazioni web volontariamente > vulnerabili ,scaricabili dalla rete, ma putroppo non sono riuscito a > trovare niente di buono. > Voi cosa mi consigliate per questa situazione?
Come in altri ambiti della sicurezza informatica, la selezione dei benchmarks non è banale. Ti posso elencare alcune proposte: - http://suif.stanford.edu/~livshits/work/securibench/index.html - http://suif.stanford.edu/~livshits/work/securibench-micro/index.html - http://samate.nist.gov/SRD/ - http://www.foundstone.com/us/index.asp (cerca l'app di test "Hackme") - http://www.owasp.org/software/webgoat.html Personalmente, ti suggerirei di installare una bella macchina virtuale piena di web application vulnerabili note e tentare di ricreare una soluzione di installazione/configurazione reale. Per l'elenco delle applicazioni, guardati bugtraq o full disclosure. Nota a margine: nikto?!? nikto è un web server scanner NON un web application scanner -- Luca "ikki" Carettoni http://www.ikkisoft.com ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
