Ciao, lancio anche io i miei 0.01 cent. Tra gli scanner commerciali, ho usato professionalmente Nexpose, Qualys, nCircle (che adesso è Tripwire), Nessus ed OpenVAS. Sono tutti validi per fare uno scanning di range molto ampli e "sgrossare", ma hanno alcuni limiti se devono concentrarsi su una sola applicazione (d'altronde, sono scanner, non tool di pentesting, e gli scanner fanno...). Tra tutti, il mio preferito è sicuramente Nexpose, che considero il più completo (anche considerando altri aspetti, tipo la valutazione di compliance, che in questa discussione penso sia fuori luogo) e che si può scaricare in una versione di valutazione gratuita. In ogni caso, nessuno dei quattro è un tool specificamente dedicati al pentesting - al massimo lo supportano in una fase iniziale.
Per il pentesting, ZAP è il tool che personalmente preferisco, proprio perché può essere usato inizialmente come scanner e poi continuato ad usare per approfondire la specifica applicazione. Richiede però un po' di manualità ed ha una certa rampa di apprendimento - cosa che gli scanner non hanno, in genere. OWASP ZAP può in effetti essere considerato come un molto completo, dato che fa sia da proxy che da scanner - però si "usa male" se hai molti target, al massimo devi tenertene quattro o cinque in un laptop da 16 GB di RAM, dopodiché Java comincia a far sentire il suo peso ;-) ZAP però credo che riporti lo specifico CVE solo se riesce ad associarne uno, e non esistono CVE "generici" per SQL injection, per dire; non credo sia specializzato in questo. Forse, se "trovare i CVE" (anziché focalizzarsi sul trovare le vulnerabilità "reali") è lo scopo, uno scanner è la cosa migliore. Sicuramente gli scanner citati riportano gli specifici CVE di riferimento (dove quelli commerciali tipo Nexpose tendono ad essere più rapidamente aggiornati rispetto e.g. ad OpenVAS); Nexpose riporta anche la raccomandazione per mitigare o risolvere la vulnerabilità, oltre al tempo necessario per farlo. Una cosa da tenere a mente è che tutti questi scanner hanno una reportistica molto scarsa (o almeno, questa è la mia esperienza). Se vuoi per esempio avere un report per CVE (ad esempio, avere come titolo uno specifico CVE e poi l'elenco degli host vulnerabili) di solito non si può fare; quasi sempre, il report è per host. Quindi se hai 1000 host che hanno la stessa vulnerabilità (grazie DevOps!...) anziché indicarti un CVE e mille host, ti indicherà mille volte il CVE... che è molto noioso (ho generato anche report di +4000 pagine...). Per avere report sensati (tipo, quanti host erano vulnerabili ad un certo CVE), ho dovuto "fare a mano" od usare prodotti di terze parti (tipo Kenna). Spero sia utile. Cordiali saluti. 2017-03-15 10:32 GMT+01:00 Paolo Perego <[email protected]>: > Ciao, di tool per la scansione di applicazioni web ce ne sono parecchi sia > opensource (nikto, w3af, wikto) che closed (webinspect, appscan, > netsparker, acunetix). > > Ci sono poi dei proxy applicativi come Paros, Owasp ZAP o Burp che ti > permettono di fare test manuali, cosa che in realtà da i risultati migliori > quando testi un'applicazione web. > > Attenzione che il tuo riferimento, per le issue legate alle applicazioni > web è la Top 10 Owasp o il CWE. Il CVE è usato per le vulnerabilità più > legate al software "di base" come sistema operativo, DBMS, web server, > application server. > > Languard? No dai, Qualis, Nessus o Nexpose... decisamente meglio. > > My €0,02 > Paolo > > Il giorno 15 marzo 2017 09:52, Mister X <[email protected]> ha > scritto: > >> Ciao lista, >> >> Sto cercando uno scanner per web app che trovi eventuali vulnerabilità >> annoverate nei database classici quali CVE. >> >> In un'azienda hanno diverse web application su dei server in DMZ e ogni >> tanto scoprono a posteriori che la tal versione era flagellata da una >> vulnerabilità NOTA da tempo...e magari sfruttata :( >> >> Ma siccome nessuno si mette a fare l'enumeration... >> >> Mi dicono Languard, ma mi sembra più network che web app VA. Consigli? >> >> grasssiieee >> >> M15t3rX >> > > > > -- > $ cd /pub > $ more beer > > I pirati della sicurezza applicativa: https://codiceinsicuro.it > -- Marco Ermini CISSP, CISA, CISM, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini
