Paolo Perego ha scritto:
[...] Se faccio un pentest mi affido a msfvenom x crearmi la webshell [...]
Mi pare un buon consiglio, grazie.
Visto che le backdoor le hanno messe anche in tool open source commerciali [...]
Quali? Non ne ero al corrente della scoperta di backdoor in software commerciali di VA/PT (non escludo che ce ne siano, solo non avevo sentito che ne fossero state scoperte).
Fidati dei tool che conosci e magari se devi provarne uno nuovo vedi come si comporta contro un ambiente di test isolato. Vedi se fa cose strane, connessioni particolari o altri.
Una backdoor bene nascosta potrebbe non essere evidente (vedi il mio messaggio ad antonio) e implicherebbe che dovremmo tutti ri-testare tutto in continuazione con grande spreco di energie.
Considerata la frequenza con cui i software di sicurezza open nascono e muoiono potrebbe avere senso concentrare le forze della comunita', classificando le analisi tramite una "web of trust". Io personalmente sarei disposto a pagare qualcosa e immagino anche altri... o no?
ciao ED ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
