Il test di penetrazione della black-box serve a verificare l'eventuale presenza di vulnerabilità in un'applicazione web. Può trovare alcune vulnerabilità, ma non tutte.
Quale frazione di vulnerabilità trova in media il pentesting della scatola nera? Qualcuno è a conoscenza di dati o prove su questo?
Un documento in letteratura fornisce alcuni dati parziali su questo argomento [1].
Il documento ha analizzato 9 applicazioni web utilizzando due metodi: (1) test di penetrazione black-box e (2) revisione manuale del codice da parte di un esperto. Ha confrontato il numero di vulnerabilità rilevate da ciascuna.
In totale, l'analisi ha rilevato un totale di 91 vulnerabilità. 39 di loro (43%) sono stati trovati dai test di penetrazione della scatola nera. 71 di loro (78%) sono stati trovati dalla revisione manuale del codice. Non c'è modo di sapere quanti altri potrebbero essere presenti vulnerabilità che nessuna tecnica ha scoperto.
Pertanto, una possibile conclusione è che il test di penetrazione della black box trova meno della metà di tutte le vulnerabilità presenti in un'applicazione web, in media.
Un'altra conclusione è che la combinazione di entrambi i metodi sembra essere migliore di uno solo; Ognuno di loro individua alcune vulnerabilità che gli altri mancano. Nel documento sopra menzionato, nessuno dei due metodi era sufficiente per rilevare tutte le vulnerabilità: la revisione manuale ha rilevato 52 vulnerabilità (57%) che non sono state rilevate da Pentesting della scatola nera e pentesting della scatola nera hanno trovato 20 punti vulnerabili (22%) che non sono stati rilevati dalla revisione manuale del codice.
Tuttavia, questo documento ha una serie di limitazioni. Guarda solo 9 applicazioni web. È difficile sapere se questi sono rappresentativi di tutte le applicazioni web in natura. La revisione manuale del codice è stata eseguita da un solo revisore. Pentesting Black-box è stato eseguito da un solo tester e utilizzando un solo strumento. Non è chiaro se l'efficacia di questi metodi possa variare da persona a persona, o da strumento di pentesting a altro. Pertanto, questi dati sono solo una prima occhiata e non possono essere trattati come la risposta finale.
[1] Matthew Finifter, David Wagner. Esplorazione della relazione tra strumenti di sviluppo di applicazioni Web e sicurezza . WebApps 2011.
Questa domanda sarebbe difficile da risolvere, salvo il problema dell'arresto.
Suppongo che potresti dire che una percentuale più piccola o più grande rispetto ad altre tecniche, ma di solito mai uguale, zero o tutto (specialmente non con lo stesso set di occhi durante lo stesso intervallo di tempo).
Aggiornamento per chiarezza:
Una domanda migliore sarebbe stata: "Quale percentuale PIÙ vulnerabilità si riscontrano quando il collaudo delle penne delle app viene combinato con l'assistenza del codice sorgente e SAST / IAST commerciale rispetto alla semplice black-box DAST?"
Leggi altre domande sui tag statistics web-application penetration-test