compiling.ru

Тест: Большинство веб — сканеров не обнаруживает почти половину уязвимостей

Большинство инструментов для сканирования веб-приложений пропускают уязвимости и показывают ложные срабатывания на собственных тестовых сайтах, сообщают по результатам тестирования некоторых из этих приложений исследователи.

Ларри Суто, консультант по безопасности, протестировал веб-сканеры на точность и ложные срабатывания, а так же время, которое тратит каждый из них на то, чтобы получить наилучший результат, включая запуск, проверку и анализ результатов проверки. Он проверил Acunetix, IBM’s AppScan, Portswigger.net BurpSuitePro, Cenzic’s Hailstorm, HP’s WebInspect, NT Objectives’ NTOSpider и Qualys’ managed scanning service

Суто больше всего удивило то, что при тестах он обнаружил, как сканеры не находили уязвимости и генерировали ложные срабатывания при проверке собственных тестовых сайтов. «Я думаю, мой доклад показывает, что хотя эти инструменты являются очень полезным, в целях безопасности не следует полагаться исключительно на них», говорит он.

Тест учитывает специфические типы уязвимостей: обход аутентификации или бутфорс, SQL-инъекцию, межсайтовый скриптинг/стойкий межсайтовый скриптинг, командную инъекцию, XPath-инъекцию, SOAP/AJAX атаку, CSRF/HTTP response splitting, загрузку произвольного файла, включение удаленного фала (PHP-инъекция) и отказ в обслуживании.

http://www.darkreading.com/vulnerability_management/security/app-security/showArticle.jhtml?articleID=222601207

Popularity: 1%

Похожие посты: