IBM AppScan falso positivo

4

Ho scansionato un sito Web con IBM AppScan e segnala più vulnerabilità, ma quando eseguo il test manualmente non riesco a trovare il problema esatto.

In che modo AppScan è in grado di trovare le vulnerabilità mentre non riesco a trovarle quando passo manualmente la stessa richiesta in Burp Suite come mostrato in AppScan.

    
posta Newbie1 15.12.2015 - 07:35
fonte

2 risposte

4

Ci sono due possibili risposte.

O : poiché gli scanner di vulnerabilità sono per loro natura "stupidi", ovvero operano in base a una logica preconfigurata, faranno una stima migliore di ciò che potrebbe essere sbagliato in qualcosa che utilizza il logica incorporata nel codice dello scanner e in grado di commettere errori.

Ad esempio, se lo scanner sta controllando una particolare stringa in un'intestazione (o qualsiasi altra cosa), esso segnalerà un potenziale problema per tutti gli header corrispondenti, che potrebbero includere intestazioni che non hanno una vulnerabilità / debolezza associata a loro .

Gli scanner sono generalmente abbastanza bravi nell'identificare le debolezze "ovvie", ma per essere efficaci (ossia non perdere troppo) devono trovare un equilibrio tra le cose mancanti e segnalare falsi positivi. Non ho familiarità con lo scanner IBM ... potrebbe essere possibile configurarlo per ridurre il numero di falsi positivi (che potrebbero aumentare o non aumentare il rischio di vulnerabilità mancanti).

O : il proxy utilizzato per confermare i risultati dello scanner:

  • Non ha la funzionalità disponibile (improbabile nel caso di BURP)
  • Non è stato configurato correttamente per acquisire i dati (interamente possibile per i nuovi utenti)
  • I dati dal proxy non vengono interpretati correttamente (dipende dalla complessità della vulnerabilità e dalla conoscenza dell'utente)
risposta data 15.12.2015 - 08:05
fonte
2

Il semplice fatto è che tutti gli strumenti di scansione di applicazioni web automatizzate hanno un compromesso tra falsi positivi (segnalando un problema quando non è presente) e falsi negativi (non segnalando un problema che è presente) e devono fare un bilancio tra i due come parte dello sviluppo del prodotto.

Il modo in cui problemi come quello che descrivi sono generalmente codificati consiste nel fare in modo che la richiesta di directory attraversi / etc / passwd e quindi stringa la corrispondenza nella risposta per cose che normalmente sarebbero presenti in un file passwd.

Quindi un approccio ingenuo potrebbe essere quello di cercare cose come root che potrebbe essere l'utente root in un file passwd, ma potrebbe ovviamente verificarsi anche in altri file.

Per risolvere il problema, lo scanner può abbinare stringhe più precise, ma rischia di perdere il risultato se la stringa non è esattamente nel file passwd, quindi può assegnare probabilità a diversi gruppi di stringhe e decidere a quale livello probabilità di segnalare il problema.

Alla fine della giornata la scansione non è precisa al 100% per tutti i problemi, motivo per cui i tester di sicurezza sono ancora in un lavoro ...

    
risposta data 15.12.2015 - 11:59
fonte

Leggi altre domande sui tag