Quali sono i limiti degli scanner di vulnerabilità?

La loro limitazione è che il loro falso negativo e in particolare i loro tassi di falsi positivi sono più alti di quelli umani esperti che svolgono lo stesso compito.

Il loro grande vantaggio è che possono coprire grandi suite di vulnerabilità conosciute e strisciare interi siti web molto, molto più velocemente di quanto possano fare gli umani.

Due esempi: una volta ho visto uno scanner di applicazioni Web contrassegnare un file trovato per contenere un indirizzo IP locale che potrebbe essere una perdita di informazioni. Ho verificato che non lo era, ma ho anche notato nello stesso file una coppia chiave / valore di dbpass: bigsecret . Uno scanner di vulnerabilità non ha modo di fare nessuna di queste cose.

Un'altra scansione ha trovato quello che diceva era un'iniezione SQL. Non era, ma riecheggiava il carico utile alla pagina. Con un po 'di giocherellando, l'ho trasformato in un exploit XSS che il resto della scansione non ha trovato.

Molti scanner tengono elenchi di numeri di versione del software che sono noti per contenere vulnerabilità. Tuttavia, la maggior parte delle distro di sicurezza di backport di Linux si risolve in software più vecchio ma ancora supportato senza modificare le funzionalità o il numero di versione. (Solitamente aggiungono qualcosa alla stringa della versione.). Ciò causa falsi positivi.

Il metodo di cui sopra è più sicuro di quello che in realtà cerca di sfruttare i difetti. Per cercare di mantenere bassi i falsi positivi, alcuni scanner creano modi "sicuri" per sfruttare le vulnerabilità. Altri includono "fuzzing" che invia dati casuali o semi-casuali al servizio nella speranza di farlo rompere. In entrambi i casi, gli scanner possono facilmente perdere i segni di una falla sfruttabile che un umano esperto vedrebbe.

Infine, a volte anche l'XSS non è "sicuro" e non vi è alcun riscontro che lo scanner possa rilevare. Ho scansionato ciò che il cliente aveva promesso era un sistema demo, non collegato alla produzione, ma è risultato che il modulo "Contact support" era attivo e in realtà è andato a supportare. Dopo che la loro schermata principale era piena di 10.000 popup contenenti le varianti di "Trovato un XSS nel parametro del modulo" oggetto "!" mi hanno chiamato e mi hanno chiesto di interrompere la scansione.

Ho effettuato qualche piccola valutazione della vulnerabilità con Nessus. Alcune delle limitazioni che posso pensare sono che si basa su vulnerabilità note. In secondo luogo, non funziona con nessuna applicazione personalizzata.