Articoli

Software Commerciale o Software Libero? L’eterna diatriba scende in campo anche nel mondo dell’IT Security, Shay Chen (Ricercatore di Sicurezza Informatica) ha stilato una preziosa classifica nella quale confronta dettagliatamente tutti i software in distribuzione in grado di effettuare scansioni sulle principali vulnerabilità web (xss, sql injection, ecc ecc).

Il confronto vede in gioco più di 50 software per i quali sono stati analizzati aspetti tecnici, precisione dei risultati e rapporto qualità/prezzo.

Non c’è un vincitore assoluto del concorso, per l’anno 2012, per ogni categoria di test spicca un software diverso, ai primi posti vediamo pur sempre un Software Commerciale seguito a ruota da uno o più software Open Source.

Il vincitore del concorso, per l’anno 2012, è il software Ammonite della categoria di Software Commericale, seguito a ruota dal software libero W3AF già incluso nella famosa distribuzione BackBox dedicata al Pen Testing. Ammonite ha vinto la sfida per soli 6 punti percentuali, riuscendo per ben 63,97% di volte a individuare una vulnerabilità contro i 57,58% di W3AF il quale ha però una miglior accuratezza nel determinare i falsi positivi con uno scarto di 1 a 3 sul rivale.

Il ricercatore infine ci tiene a precisare che oramai il divario tra Open e Commercial è veramente minimo, quest’ultima categoria ha dalla sua parte una miglior interazione con l’utente e semplicità di utilizzo e di installazione.

Per chi fosse interessato ad approfondire la sfida può trovare la classifica generale dei migliori 10 software per categoria al seguente sito oppure tutti i dettagli dell’analisi condotta sul blog del ricercatore.

 

W3af (Web Application Attack and Audit Framework) è un web scanner opensource integrato anche in BackBox dedicato alla sicurezza delle applicazioni Web. Il software infatti è in grado di scansionare le vulnerabilità di un sito web fornendo notevoli informazioni sull’eventuale vulnerabilità trovata.

Tra le principali analisi che l’utility effettua è importante ricordare la scansione di eventuali SQL Injection, cross-site scripting (XSS) e remote file inclusion (RFI).

Il software è scritto in Python ed ha pertanto la peculiarità di essere multi-piattaforma (Windows, Linux, Mac OS X, FreeBSD e OpenBSD) inoltre è disponibile un essenziale interfaccia shell oppure la più comoda GUI grafica.

Per tutti gli utenti BackBox (una delle migliori distribuzioni dedicate al Pen Testing) il software è preinstallato, mentre per chi avesse una propria distribuzione di linux basata su Ubunt può effettuare l’installazione dell’applicativo semplicemente digitando il seguente comando:

$ sudo apt-get install w3af

Per eseguire w3af in modalità GUI basterà digitare il comando

$ sudo w3af

eventualmente se preferite gestire il software da console digitate:

$ sudo w3af_console

Come anticipato dal titolo del post, lo scorso 10 Novembre 2011 l’applicativo ha raggiunto la versione 1.1 introducendo le seguenti migliorie:

  • Implementazione della codifica gzip per migliorare le prestazioni;
  • Utilizzo del protocollo XMLPRC per i report;
  • Fix di bug vari tra i quali l’auto-update

Infine vi ricordo sito internet ufficiale del progetto: http://sourceforge.net/projects/w3af/