2009/11/23 Roberto Scaccia <[email protected]> > Il 23 novembre 2009 00.33, Luca Carettoni > <[email protected]> ha scritto: > >> On Saturday 21 November 2009, Roberto Scaccia wrote: > >> Ai tempi avevo provato Nikto (non ricordo se fosse per? la versione > >> 2.0) ed era un po' troppo invasivo con troppi falsi positivi. Magari > >> per? nella versione 2.0 hanno migliorato qualche cosa. > > > > Nikto ? un web server scanner e non un web application scanner. > > Non ha nemmeno senso considerarlo, visto il tipo di vulnerabilit? a cui > sei > > interessato. > > Mah...guardando tra i test che Nikto effettua c'? anche l'XSS, il ch? > sembrerebbe contraddire in parte quello che dici. Comunque sicuramente > Acunetix ? pi? "Application", sono d'accordo con te. >
XSS non e' solamente un problema applicativo. I web server/application server possono essere affetti da XSS, esattamente come le normali applicazioni web. Esempio http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1232 Guarda attentamente il db di Nikto e ti accorgerai che verifica problematiche NOTE nei web server e in alcune web application largamente utilizzate. Un "Web Application Scanner" dovrebbe invece testare diverse problematiche senza utilizzare signature statiche (vedi http://projects.webappsec.org/Web-Application-Security-Scanner-Evaluation-Criteria ). > Grazie comunque delle info. Penso che mi orienter? su Acunetix. Mi > sembra un buono strumento anche abbastanza usabile da persone non > particolarmente esperte di Application Security. > Tenendo presente tutti i limiti degli strumenti black-box, direi comunque che Acunetix risulta un buon prodotto per eliminare una serie di vulnerabilita' facilmente identificabili. Qualche tempo fa era stato pubblicato un test comparativo (fatto da terze parti) che ti potrebbe interessare: http://www.darknet.org.uk/2009/01/independent-web-vulnerability-scanner-comparison-acunetix-wvs-ibm-rational-appscan-hp-webinspect/ Saluti, Luca "ikki"
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
