Il giorno 18/gen/08, alle ore 14:06, Alberto Trivero ha scritto:
Quello su cui però io mi interrogo circa il tuo test è come fai a mettere in confronto prodotti così diversi come Nikto, ParosProxy e WebScarab. Nikto serve per l'identificazione di falle note in diverse webapp attraverso un database di signature e un crawler, mentre ParosProxy e WebScarab sono dei proxy che cercano nelle pagine che tu visiti della webapp falle non note (come XSS e SQL injection) e non posseggono un crawler (uno spider ce l'avrebbero, ma quando l'avevo provato io non era utile all'indentificazione di nuove vulnerabilità attraverso test automatici).
Il problema delle metriche di valutazione non è nuovo nel campo della sicurezza, ad esempio è presente nel campo degli IDS (misuse e anomaly). Da come dici sembrerebbe che non sia possibile (o non avrebbe senso) effettuare la valutazione di prodotti con differenti metodologie di funzionamento. E' ovvio che bisogna individuare le metriche adeguate. I due approcci hanno dei pregi e dei difetti ed è utile fare dei confronti.
-- Matteo Ignaccolo ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
