Il giorno 17/gen/08, alle ore 18:27, Mailing List Manager ha scritto:
----- Forwarded message from Andre <bugpezz(at)gmail.com> -----
From: Andre <bugpezz(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Applicazione Web di Test
Ciao a tutti,
mi trovo a dover testare i tool per scanning di vunerabilit? in
applicazioni
web : Nikto,ParosProxy,WebScarab. Al fine di riportare dei risultati
omogenei , ho cercato delle applicazioni web volontariamente
vulnerabili
,scaricabili dalla rete, ma putroppo non sono riuscito a trovare
niente di
buono.
Voi cosa mi consigliate per questa situazione?
Grazie a tutti!
----- End forwarded message -----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Per la cronaca, Larry Suto ha già effettuato un test simile al tuo ma
su web security scanner commerciali, reperibile a questo indirizzo:
http://ha.ckers.org/blog/20071014/web-application-scanning-depth-statistics/
Quello su cui però io mi interrogo circa il tuo test è come fai a
mettere in confronto prodotti così diversi come Nikto, ParosProxy e
WebScarab. Nikto serve per l'identificazione di falle note in diverse
webapp attraverso un database di signature e un crawler, mentre
ParosProxy e WebScarab sono dei proxy che cercano nelle pagine che tu
visiti della webapp falle non note (come XSS e SQL injection) e non
posseggono un crawler (uno spider ce l'avrebbero, ma quando l'avevo
provato io non era utile all'indentificazione di nuove vulnerabilità
attraverso test automatici).
Per quanto riguarda la ricerca di webapp fatte apposta per essere
testate nella sicurezza, non mi viene in mente nient'altro che provare
ad adattare WebGoat (http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
), che avrebbe altri scopi, per le proprie necessità.
Saluti,
Alberto Trivero________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
