[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ] 

Archivio: Gennaio 2008 ml@sikurezza.org
Soggetto: Re: [ml] Applicazione Web di Test
Mittente: Matteo Ignaccolo
Data: Sat, 19 Jan 2008 17:13:34 +0100 (CET)


Il giorno 18/gen/08, alle ore 14:06, Alberto Trivero ha scritto:

Quello su cui però io mi interrogo circa il tuo test è come fai a mettere in confronto prodotti così diversi come Nikto, ParosProxy e WebScarab. Nikto serve per l'identificazione di falle note in diverse webapp attraverso un database di signature e un crawler, mentre ParosProxy e WebScarab sono dei proxy che cercano nelle pagine che tu visiti della webapp falle non note (come XSS e SQL injection) e non posseggono un crawler (uno spider ce l'avrebbero, ma quando l'avevo provato io non era utile all'indentificazione di nuove vulnerabilità attraverso test automatici).


Il problema delle metriche di valutazione non è nuovo nel campo della sicurezza, ad esempio è presente nel campo degli IDS (misuse e anomaly).
Da come dici sembrerebbe che non sia possibile (o non avrebbe senso) effettuare la valutazione di prodotti con differenti metodologie di funzionamento. E' ovvio che bisogna individuare le metriche adeguate. I due approcci hanno dei pregi e dei difetti ed è utile fare dei confronti.

--
Matteo Ignaccolo




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005