Messaggio Originale
Ciao a tutti,
mi trovo a dover testare i tool per scanning di vunerabilit? in
applicazioni
web : Nikto,ParosProxy,WebScarab. Al fine di riportare dei risultati
omogenei , ho cercato delle applicazioni web volontariamente vulnerabili
scaricabili dalla rete, ma putroppo non sono riuscito a trovare niente di
buono.
Voi cosa mi consigliate per questa situazione?
Grazie a tutti!
Ciao a tutti, grazie per il vostro interessamento in questo mio problema,
purtroppo sono stato occupato un po di giorni e non ho potuto rispondere,per
cui cercherò ora di spiegarmi un po meglio.
In pratica dovrei fare un progetto in cui analizzo gli scanner presenti qui
http://sectools.org/web-scanners.html (Top 10 Web Vulnerability Scanners) ,
solo quelli open source e multipiattaforma : da cui vengono fuori Nikto ,
Paros Proxy e WebScarab.
In effetti sono tool diversi tra di loro : Nikto identifica falle note nelle
applicazioni e nei server web. Anche Paros Proxy comunque ha uno scanner
automatico (solo di livello applicativo). WebScarab invece è totalmente
manuale sotto quel punto di vista.
Identificare delle metriche per valutare non è cosa facile : WebScarab come
già detto e saprete è totalmente manuale.
Ho fatto notare a suo tempo i vostri stessi dubbi al relatore del lavoro :
penso che ciò che devo fare sia quello di mettere in evidenze differenze e
complementarietà (a livello teorico e pratico)...il dubbio rimane sulle
forti differenze..
Il fatto di usare un'applicazione di testing già note mi rispariebbe
senz'altro molta fatica , rispetto a doverla fare io.
Probabilmente potrei anche usare versioni "vecchie" di webapp , quali blog ,
cms , riportando come ha fatto Larry Suto nella sua dubbia valutazione.
Tra le suite che ho trovato più intteressanti :
Badstore (http://www.badstore.net/) (il sito è down , qualcuno di voi ha
l'iso? ,dovrebbe essere intorno ai 50 mega)
WebGoat (http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project )
(l'ho provato ma da quello che sono riuscito a capire è una learning
application con delle lezioni sul web hacking , quindi così com'è non la
posso usare (?))
Grazie Ragazzi.
Ciao
Andrea
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
