Quanto sono efficaci gli strumenti come w3af nel cercare le vulnerabilità delle app Web rispetto alla ricerca manuale di vulnerabilità? Sono in grado di trovare tutte le vulnerabilità di OWASP 10 tra cui xss riflessi, xss persistenti, sqli, lfi / rfi e upload di file senza restrizioni? Oppure alcune vulnerabilità cadranno attraverso le fessure e rimarranno sconosciute?
Gli strumenti sono sempre limitati secondo me. Test di un meccanismo di autorizzazione e di una sessione di fissazione (non ho ancora attraversato uno strumento che possa farlo) sono solo due esempi che uno strumento non può (correttamente) fare. Gli strumenti sono buoni per i cosiddetti frutti a basso impatto (la maggior parte dei 10 problemi principali di OWASP), ma non possono essere definiti test di penetrazione.
Generalmente uso gli strumenti per ottenere un'indicazione globale del sistema. Mentre corro in background eseguo test manuali. Nella mia esperienza di consulente per la sicurezza, il numero di vulnerabilità scoperte dagli scanner di applicazioni Web è sempre inferiore a quello che trovo manualmente.
Un'altra cosa è combinare le vulnerabilità, ad esempio:
Mentre nessun 1 da solo può essere considerato basso e nessun 2 e 3 sono alti, la combinazione dei tre porterà al dirottamento di sessione, che può essere considerato critico. Questo è qualcosa che uno strumento non farà.
Quindi, sì, la maggior parte delle vulnerabilità scoprirà i 10 difetti principali di OWASP. E sì, è possibile che alcune vulnerabilità non vengano scoperte, ciò può essere dovuto al tempo limitato.
Ricorda anche che ciò che è considerato sufficientemente sicuro oggi può essere non sicuro il prossimo mese.
Test manuale:
Test automatici:
Sulla base dei punti precedenti, possiamo dire che ogni tipo di test ha i suoi lati positivi e negativi.
Are they able to find all vulnerabilities from OWASP top 10 such as reflected xss, persistent xss, sqli, lfi/rfi, and unrestricted file upload?
Molti scanner di sicurezza Web sono stati progettati per trovare tutti i tipi di vulnerabilità di cui sopra, ma nulla può garantire che troveranno tutte le istanze delle vulnerabilità di cui sopra.
Or will some vulnerabilities fall through the cracks and remain undiscovered?
Alcune vulnerabilità possono cadere attraverso le fessure, nessuno strumento è perfetto.
How effective are tools such as w3af in looking for web app vulnerabilities compared to looking for vulnerabilities manually?
Sono efficaci per quello che sono. Gli scanner troveranno la frutta bassa appesa.
Tuttavia, in genere non riescono a individuare le vulnerabilità causate da una logica aziendale imperfetta. In quest'area gli umani hanno il vantaggio.
Gli scanner tipicamente testano decine di migliaia di vulnerabilità che non è fattibile per una singola persona. In quest'area gli scanner hanno un vantaggio.
Are they able to find all vulnerabilities from OWASP top 10 such as reflected xss, persistent xss, sqli, lfi/rfi, and unrestricted file upload?
Sì.
Webinspect ha una scansione OWASP se vuoi limitare la scansione a OWASP top 10.
Or will some vulnerabilities fall through the cracks and remain undiscovered?
Sì.
Gli scanner non troveranno sempre la stessa quantità o tipo di vulnerabilità ogni volta. Almeno questa è stata la mia esperienza con Webinspect da oltre 10 anni. Il risultato di scansione "A" può contenere 10 istanze di XSS in cui i risultati di scansione "B" possono contenere 7 istanze di XSS.
Di solito quando vedo che succede è la stessa pagina nel caso A e B, ma B elenca meno parametri interessati.
Leggi altre domande sui tag web-application vulnerability-scanners