Ciao Roberto, Quoto quanto detto da Koba (tranne che per il tool consigliato e a breve capirai perché :P).
I tool di VA sono anche utilizzati da chi nn ha molta esperienza in ambito security e vuole un primo check di sicurezza. Come disse il buon Gary McGraw questi tool ti dicono se sei in guai seri [1]. Io sono il core developer del web vulnerability scanner Taipan ( https://taipansec.com) e ti posso garantire che più davo possibilità di personalizzazione peggio era. Spesso si vuole qualcosa point and click (o scan) per questo genere di tool. Ho quindi fornito dei profili base da utilizzare, dando agli utenti esperti la possibilità di personalizzazione tramite una comoda e recentissima tecnologia... XML. Infine, per i tool closed source nn tutti vogliono scoprire le proprie carte, ecco perché personalizzazione si ma fino ad un certo punto. Visto la tua richiesta sarei curioso di sapere se trovi il mio tool abbastanza "customizzabile". Ciao, Antonio 's4tan' Parata [1] - https://www.synopsys.com/blogs/software-security/badness-ometers-are-good-do-you-own-one/ Il Mer 24 Apr 2019, 15:42 Igor Falcomata' <[email protected]> ha scritto: > On Wed, Apr 24, 2019 at 01:01:34AM +0200, roberto diana wrote: > > > Ma non solo mi piace anche attakkare e lo faccio giocando con ctf e > > provando in casa. Sono anche un precisino quindi parlando di attakki e > > prenetation test, non ho un'approccio del tipo premo il bottone e spero > che > > esca qualcosa, mi piace capire come funzionano i tool e cosa fanno anche > > pechè vorrei imparare a mantenere un profilo basso poco rumore ma > efficace. > > Ottimo. > > > Attualmente sto studiando zap e sto provando a vedere un pò come gira > > sotto, ho creato qualche script personalizzato e letto un pò di codice. > Non > > lo conosco in dettaglio ma ci stiamo conoscendo pian piano :-). > > > > Detto questo ecco la mia domanda. Perchè la maggior parte dei tool > > applicano massivamente tutti gli attacchi senza nessun controllo ? . > > Boh, dipende da cosa intendi.. > > > Mi spiego meglio mi piacerebbe calibrare una volta stabilito il target un > > profilo che comprende una serie di attakki mirati su vettori mirati ma > quel > > che vedo e che la maggior parte dei tool non forniscono questi meccanismi > > quindi sto pensando di implementarmi tutto in casa ma prima di farlo > vorrei > > capire se vale la pena. > > Boh, così a naso no :) Poi un nuovo tool serve sempre, e scriverne uno > sicuramente aiuta a capire meglio come attaccare cosa c'è di la ;) > > > Quindi mi chiedo sbaglio approccio oppure mi manca qualche pezzo per > > chiudere il puzzle ? Nei vari report / write-up /video che leggo/guardo > non > > c'è traccia di un uso a granularità così fine vorrei capire il perchè > > Intanto dipende dal tool; molti strumenti tipo Nessus o Burp Suite Pro > applicano (o possono applicare, dipende dalla configurazione) alcune > ottimizzazioni; esempio molto banale, ma: "se non è tomcat, non lanciare > i plugin per tomcat", nel caso di nessus[*], oppure "Active Scanning > Optimization" di burp[1], ecc. > > Non conosco ZAP nel dettaglio quindi non so se abbia questo tipo di > ottimizzazioni (nel manuale e/o nelle opzioni o alla peggio nel codice > dovresti scoprirlo facilmente). > > .. a prescindere da questo, si tratta di tool che fanno "VA"; il loro > obbiettivo non è né essere stealth né minimizzare l'uso di risorse quali > banda/cpu/log sul target (ma possibilmente senza sdraiarli), bensì > trovare quante più vulnerabilità o misconfigurazioni in maniera > automatica. > > Banalmente più ne provi, anche apparentemente non "rilevanti", più > possibilità hai di trovarne (ricordo che uno dei principi della > full-disclosure è anche quella di poter provare uno specifico attacco o > una classe di attacchi anche su target che in origine non sono stati > catalogati come vulnerabili, banalmente perché nessuno ci ha mai > guardato). > > E' raro, ma capita, di trovare segnalazioni per vulnerabilità/plugin > relativi ad un certo oggetto su un oggetto in teoria "diverso". > > Tornando al "pen test", poi è chiaro che ognuno ha nel suo "arsenale" > una serie di todo, tool, script o simile che - in base al contesto, alle > tempistiche, etc. - mirano a trovare quante più possibili cose > interessanti nel minor tempo possibile, oppure se l'obiettivo è "red > teaming" farlo in maniera più stealth, etc. > > [*]: e già questo potrebbe dare adito a falsi positivi, pensa ad > un'applicazione con un reverse non tomcat davanti, che poi ribalta le > cose su un back-end tomcat > > [1]: > https://portswigger.net/burp/documentation/desktop/scanning/audit-options > > ciao, > K. > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
