Gli strumenti sono sempre limitati secondo me. Test di un meccanismo di autorizzazione e di una sessione di fissazione (non ho ancora attraversato uno strumento che possa farlo) sono solo due esempi che uno strumento non può (correttamente) fare. Gli strumenti sono buoni per i cosiddetti frutti a basso impatto (la maggior parte dei 10 problemi principali di OWASP), ma non possono essere definiti test di penetrazione.
Generalmente uso gli strumenti per ottenere un'indicazione globale del sistema. Mentre corro in background eseguo test manuali. Nella mia esperienza di consulente per la sicurezza, il numero di vulnerabilità scoperte dagli scanner di applicazioni Web è sempre inferiore a quello che trovo manualmente.
Un'altra cosa è combinare le vulnerabilità, ad esempio:
- Il cookie di sessione non ha l'attributo httpOnly impostato
- L'applicazione è vulnerabile agli attacchi CSRF
- L'applicazione è vulnerabile agli attacchi persistenti XSS
Mentre nessun 1 da solo può essere considerato basso e nessun 2 e 3 sono alti, la combinazione dei tre porterà al dirottamento di sessione, che può essere considerato critico. Questo è qualcosa che uno strumento non farà.
Quindi, sì, la maggior parte delle vulnerabilità scoprirà i 10 difetti principali di OWASP. E sì, è possibile che alcune vulnerabilità non vengano scoperte, ciò può essere dovuto al tempo limitato.
Ricorda anche che ciò che è considerato sufficientemente sicuro oggi può essere non sicuro il prossimo mese.