[Owasp-italy] Nebula - un nuovo tool di web application fingerprinting - http://nebula.tools

antonio parata aparata at gmail.com
Fri Nov 21 16:45:18 UTC 2014


Ciao,

come ben sapete esistono diversi tool di web app fingerprinting, ma buona
parte implementa algoritmi di riconoscimento custom è per nulla scalabili,
con il risultato che dopo l'avvio iniziale il tool diventa obsoleto e non
più aggiornato. L'unico tool (per quanto ne so) che affronta questo
problema è BlindElephant di Qualys.

BlindElephant applica un approccio di creazione delle firme altamente
scalabile. L'attuale problema è la creazione di signature ottimali. Citando
il paper di BlindElephant:
"...a heuristic function is run on the paths table to produce an ordered
list of path that provide significant differentiating information (are
present in most versions and differ in many). This is the list of path that
will be fetched from the remoteserver during fingerprinting. By default,
BlindElephant uses the first few items from the list...".

In pratica si ha una lista di file ordinati per numero di presenza e tasso
di cambiamento. Ad esempio: 1. changelog.txt, 2. readme.html, ... questi
file sono spesso presenti in tutte le versioni e cambiano da versione a
versione (o almeno si spera).

Mettiamoci ora nel caso in cui l'applicazione Foo v1.1.1 differisce da
tutte le altre versioni per la presenza di un unico file (index_test.html),
l'approccio descritto fallisce (se non andando a richiedere tutti i file di
suddetta versione, processo del tutto impraticabile).

Nebula implementa un nuovo algoritmo proprietario military grade a 8192 bit
per la creazione ottimale di tali firme. Effettua un numero minimo di
richieste necessarie ad identificare con certezza una determinata versione.
Nel caso precedente basterebbe richiedere index_test.html per interrompere
il processo ed essere sicuri al 100% della versione.

Inoltre, ovviamente, richiede per prima i file con maggiore presenza,
andando quindi a migliorare notevolmente (a mio avviso) il processo di
fingerprinting.

Per chi volesse provarlo è raggiungibile all'url http://nebula.tools

Ovviamente è una prima release e potrebbe (con molta probabilità) avere dei
problemi.

Ciao,
Antonio "s4tan" Parata

P.S.
ho limitato a 10 il numero di scansioni parallele, se tale numero non vi
permette comunque di eseguire una scansione contattatemi senza problemi.

P.S.S.
Si lo so, ci sono alcuni 500 internal error per richieste malformate e
pagine "nascoste" (del tutto inutili). Le elimino non appena ho tempo :)
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-italy/attachments/20141121/c6fb95b7/attachment.html>


More information about the Owasp-italy mailing list