On Wed, Apr 24, 2019 at 01:01:34AM +0200, roberto diana wrote: > Ma non solo mi piace anche attakkare e lo faccio giocando con ctf e > provando in casa. Sono anche un precisino quindi parlando di attakki e > prenetation test, non ho un'approccio del tipo premo il bottone e spero che > esca qualcosa, mi piace capire come funzionano i tool e cosa fanno anche > pechè vorrei imparare a mantenere un profilo basso poco rumore ma efficace.
Ottimo. > Attualmente sto studiando zap e sto provando a vedere un pò come gira > sotto, ho creato qualche script personalizzato e letto un pò di codice. Non > lo conosco in dettaglio ma ci stiamo conoscendo pian piano :-). > > Detto questo ecco la mia domanda. Perchè la maggior parte dei tool > applicano massivamente tutti gli attacchi senza nessun controllo ? . Boh, dipende da cosa intendi.. > Mi spiego meglio mi piacerebbe calibrare una volta stabilito il target un > profilo che comprende una serie di attakki mirati su vettori mirati ma quel > che vedo e che la maggior parte dei tool non forniscono questi meccanismi > quindi sto pensando di implementarmi tutto in casa ma prima di farlo vorrei > capire se vale la pena. Boh, così a naso no :) Poi un nuovo tool serve sempre, e scriverne uno sicuramente aiuta a capire meglio come attaccare cosa c'è di la ;) > Quindi mi chiedo sbaglio approccio oppure mi manca qualche pezzo per > chiudere il puzzle ? Nei vari report / write-up /video che leggo/guardo non > c'è traccia di un uso a granularità così fine vorrei capire il perchè Intanto dipende dal tool; molti strumenti tipo Nessus o Burp Suite Pro applicano (o possono applicare, dipende dalla configurazione) alcune ottimizzazioni; esempio molto banale, ma: "se non è tomcat, non lanciare i plugin per tomcat", nel caso di nessus[*], oppure "Active Scanning Optimization" di burp[1], ecc. Non conosco ZAP nel dettaglio quindi non so se abbia questo tipo di ottimizzazioni (nel manuale e/o nelle opzioni o alla peggio nel codice dovresti scoprirlo facilmente). .. a prescindere da questo, si tratta di tool che fanno "VA"; il loro obbiettivo non è né essere stealth né minimizzare l'uso di risorse quali banda/cpu/log sul target (ma possibilmente senza sdraiarli), bensì trovare quante più vulnerabilità o misconfigurazioni in maniera automatica. Banalmente più ne provi, anche apparentemente non "rilevanti", più possibilità hai di trovarne (ricordo che uno dei principi della full-disclosure è anche quella di poter provare uno specifico attacco o una classe di attacchi anche su target che in origine non sono stati catalogati come vulnerabili, banalmente perché nessuno ci ha mai guardato). E' raro, ma capita, di trovare segnalazioni per vulnerabilità/plugin relativi ad un certo oggetto su un oggetto in teoria "diverso". Tornando al "pen test", poi è chiaro che ognuno ha nel suo "arsenale" una serie di todo, tool, script o simile che - in base al contesto, alle tempistiche, etc. - mirano a trovare quante più possibili cose interessanti nel minor tempo possibile, oppure se l'obiettivo è "red teaming" farlo in maniera più stealth, etc. [*]: e già questo potrebbe dare adito a falsi positivi, pensa ad un'applicazione con un reverse non tomcat davanti, che poi ribalta le cose su un back-end tomcat [1]: https://portswigger.net/burp/documentation/desktop/scanning/audit-options ciao, K. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List