Vale la pena installare la stessa applicazione Web su diversi tipi di server Web in una valutazione di vulnerabilità?

Questo potrebbe essere utile se i clienti acquistano la tua applicazione web e poi la installano su una piattaforma autonoma e devi renderla protetta nonostante il SO e l'architettura back-end sottostanti.

Se l'applicazione è stata compilata correttamente e considera correttamente l'input dell'utente in tutti i punti, non ci dovrebbero essere differenze. Se tuttavia alcune parti dell'applicazione consentiranno un exploit MS SQL mentre un MySQL fallirà, o un exploit di Windows funzionerà, tuttavia quando è ospitato su Linux questo non è possibile, allora c'è un vantaggio. Ovviamente, non lo saprai a meno che tu non valuti dinamicamente le vulnerabilità su queste piattaforme (utilizzando uno scanner come ti proponi, oltre a test manuali) o staticamente (analizzando il codice sorgente sia automaticamente che manualmente).

Detto questo, la maggior parte delle applicazioni tende ad esibire vulnerabilità simili indipendentemente dalla piattaforma su cui sono state installate e dovrebbe essere codificata in un modo unico per essere sfruttata su una piattaforma e non sull'altra.

Se trovi qualcosa di diverso tra i server, allora stai riscontrando problemi con il server / infrastruttura e non con l'app. Sì, ci sono casi in cui una particolare infrastruttura può elaborare il codice dell'applicazione in modo diverso, ma questo è un problema con l'infrastruttura e non con il codice dell'applicazione stesso.

Non vedrei che ci sarebbe un valore in questo tipo di test a meno che non si intenda eseguire l'app su quei diversi server in produzione.