Diventa Autore per CoreTech | Scopri di più
22/02/21 CoreTech Blog
Hai preso la decisione giusta per migliorare la tua posizione sulla sicurezza delle applicazioni web ed eseguire una scansione regolare delle applicazioni web. Tuttavia, ci sono diversi rinomati scanner di vulnerabilità web sul mercato e devi sceglierne uno. Come si fa a farlo?
Come primo passo, probabilmente hai ricercato tutte le opzioni e selezionato un elenco di prodotti che potrebbero soddisfare le tue esigenze. Quindi, hai verificato se i produttori di questi prodotti sono rinomati e affidabili e se i prodotti hanno buone valutazioni da altri clienti . Probabilmente hai letto anche molte descrizioni delle funzionalità e forse anche qualche documentazione di supporto per questi prodotti. Hai richiesto una demo , hai ricevuto una versione di prova del prodotto e ora hai lo strumento per testare. E adesso cosa?
Ovviamente puoi iniziare testando la versione di prova di ogni strumento con i tuoi siti web e applicazioni web. Tuttavia, a meno che tu non sia stato molto permissivo con la sicurezza, non troverai molti tipi di vulnerabilità e non avrai idea di quanto sarà efficace lo strumento in futuro. Puoi anche testare lo strumento con siti Web intenzionalmente vulnerabili forniti dal produttore dello strumento (se presente) ma non sarai in grado di vedere o modificare il codice dell'applicazione, quindi potrebbe non essere sufficiente. Cos'altro puoi fare?
Aspiranti penetration tester e ricercatori di sicurezza hanno problemi simili ai tuoi. Hanno bisogno di una sorta di banco di prova per apprendere e verificare le proprie capacità. Non sarebbe molto efficiente se creassero le proprie vulnerabilità e poi cercassero di scoprirle. Ecco perché si affidano ad applicazioni intenzionalmente vulnerabili.
Le applicazioni intenzionalmente vulnerabili sono generalmente sviluppate come open source. Molto spesso, vengono forniti come pacchetti pronti per l'installazione con un server Web locale e un database locale. Puoi eseguirli in silos completamente indipendenti dal tuo ambiente attuale. Gli analisti della sicurezza possono esercitare le proprie abilità manuali su tali applicazioni, ma queste app sono altrettanto utili per valutare gli scanner di vulnerabilità del Web. Anche i benchmarker professionisti utilizzano tali applicazioni come base per la valutazione dello scanner.
Ecco gli esempi più notevoli di applicazioni web intenzionalmente vulnerabili rinomate e continuamente sviluppate.
Ci sono altre applicazioni simili disponibili sul web. Tuttavia, le tre precedenti sono un buon punto di partenza.