Discussione Toolchain VAPT

[Albymaster]

Ciao a tutti ragazzi. So che la mia domanda, non per forza avrà una risposta precisa dato che ognuno usa tool differenti. Ma secondo voi, per effettuare un VAPT ( Vulnerability Assessment Penetration Test) utilizzare Burp Pro, Nikto e Metasploit può essere una buona combinazione? Insomma, con questi 3 tool si potrebbe fare una buona copertura delle vulnerabilità per poi fare un pentest? Inoltre ho visto che Nikto e Metasploit funzionano bene insieme perchè si possono passare i risultati in modo da tentare subito un exploit su una certa vulnerabilità.

Vi chiedo se possibile di argomentare le risposte in modo da capire se ci sono soluzioni migliori e perchè.

Grazie

 

[0xbro]

Sì, i tools tra di loro vanno bene. Metasploit è più incentrato sulle vulnerabilità network o su CVE specifiche, ma se si presenta l'opportunità fa sicuramente la differenza. Nikto è ottimo, forse un po' troppo rumoroso, ma se il target in questione non patisce è un ottimo tool per enumerare e trovare misconfiguration. Burp Pro è il must have, si potrebbe parlare per ore delle mille funzionalità grazie alle tante estensioni.

Un altro tool che puoi utilizzare per testare le vulnerabilità SQL Injection in maniera più precisa degli altri tool è sqlmap, funziona molto bene e ha una lista molto completa di SQL injection per diverse tipologie di DB.
Per testare siti CMS ti consiglio di cercare anche per tools specifici per quel CMS, come ad esempio magescan per i siti "Magento", wpscan per i wordpress e via dicendo.

Se puoi devi fare un Vulnerability Assesment puoi sempre optare per la versione community di Nessus, uno dei migliori (se non il migliore) VA scanner in circolazione

 

[Albymaster]

Nessus lo avevo già valutato (però purtroppo avevo visto che le versioni più serie costano molto) e forse potrebbe essere un'ottima soluzione per un VA veloce e "provvisorio". Nel senso, in certi casi mi viene richiesto di fare dei VAPT completi e che effettivamente richiedono tool diversi e molto tempo. Altre volte invece mi viene richiesto giusto un report delle vulnerabilità e per questo forse Nessus, come tool che bene o male è automatizzato, farebbe al caso mio. Intanto ti ringrazio per quanto riguarda SQLmap, è un tool che aggiungerò alla mia lista

 

[HellIn]

Devo esser sincero, quando mi è capitato di fare pentest su web non ho mi avuto bisogno di utilizzare altro che non fosse la suite di Burp ; fra l'altro (non son sicuro al 100%, quindi va presa un po' con le pinze questa affermazione) mi pare di ricordare che Burp avesse delle estensioni per integrare Nikto e Metasploit, se proprio dovesse essercene bisogno

 

[Albymaster]

Devo esser sincero, quando mi è capitato di fare pentest su web non ho mi avuto bisogno di utilizzare altro che non fosse la suite di Burp ; fra l'altro (non son sicuro al 100%, quindi va presa un po' con le pinze questa affermazione) mi pare di ricordare che Burp avesse delle estensioni per integrare Nikto e Metasploit, se proprio dovesse essercene bisogno

Grazie della risposta
Ehm, si, anche io sto usando moltissimo Burp, piuttosto che Nikto e Metasploit. Per integrare Burp con Metasploit non ho trovato alcuna guida o spiegazione a riguardo, quindi non sapevo si potesse fare.
Vorrei chiederti a questo punto se ritieni che ci sia qualcosa che Burp Pro non può fare e per questo magari sono necessari altri tool.

 

[HellIn]

Per integrare Burp con Metasploit hai fondamentalmente due opzioni, a seconda di ciò che devi fare:

1. Se quello che ti serve è intercettare il traffico Metasploit con Burp per poterlo manipolare o farci qualsiasi cosa che in generale faresti con Burp, ti basta settare la variable globale del proxy in Metasploit e farla puntare a Burp;
2. Se invece ti serve qualcosa di un po' più complesso (tipo salvare i risultati di Burp nel database di Metasploit), ci sono delle estensioni per Burp (non riesco a trovare quella che vidi tempo fa, essendo passati un po' di anni è probabile che non sia più mantenuta... ma son sicuro che qualche fork lo trovi).

Per quanto riguarda limitazioni varie di Burp Pro, francamente non mi è mai capitato di lavorare su pentest web e avere casi in cui Burp (o una delle sue estensioni) non riuscisse a far qualcosa che altri tool offrivano... ricordo soltanto una situazione in cui dovevo iniettare delle payload in headers di alcune richieste HTTP e l'Intruder + le macro per la gestione delle sessioni con token CSRF non permettevano un controllo granulare della cosa, quindi provai ad utilizzare un'estensione fatta apposta per questo scopo (https://portswigger.net/bappstore/33839d04fdaa4e3b80292fbed115db13); funzionava benissimo, però crashava ad intervalli regolari andando in eccezione java... risolsi creando uno script in python, non credo che altri tool abbiano la possibilità di gestire questo tipo di situazioni (o almeno non che io sappia)