Il semplice fatto è che tutti gli strumenti di scansione di applicazioni web automatizzate hanno un compromesso tra falsi positivi (segnalando un problema quando non è presente) e falsi negativi (non segnalando un problema che è presente) e devono fare un bilancio tra i due come parte dello sviluppo del prodotto.
Il modo in cui problemi come quello che descrivi sono generalmente codificati consiste nel fare in modo che la richiesta di directory attraversi / etc / passwd e quindi stringa la corrispondenza nella risposta per cose che normalmente sarebbero presenti in un file passwd.
Quindi un approccio ingenuo potrebbe essere quello di cercare cose come root
che potrebbe essere l'utente root in un file passwd, ma potrebbe ovviamente verificarsi anche in altri file.
Per risolvere il problema, lo scanner può abbinare stringhe più precise, ma rischia di perdere il risultato se la stringa non è esattamente nel file passwd, quindi può assegnare probabilità a diversi gruppi di stringhe e decidere a quale livello probabilità di segnalare il problema.
Alla fine della giornata la scansione non è precisa al 100% per tutti i problemi, motivo per cui i tester di sicurezza sono ancora in un lavoro ...