¿Vale la pena instalar la misma aplicación web en diferentes tipos de servidores web en una evaluación de vulnerabilidad?

Esto podría ser beneficioso si los clientes compran su aplicación web y luego la instalan en una plataforma propia y usted necesita protegerla a pesar del SO subyacente y la arquitectura de back-end.

Si la aplicación se ha juntado correctamente y trata la entrada del usuario correctamente en todos los lugares, entonces no debería haber diferencia. Sin embargo, si algunas partes de la aplicación permitirán que funcione un exploit de MS SQL mientras que MySQL fallara, o un exploit de Windows funcionará, sin embargo, cuando está alojado en Linux, esto no es posible, entonces hay beneficios. Por supuesto, no sabrá esto a menos que evalúe las vulnerabilidades en estas plataformas, ya sea dinámicamente (usando un escáner como usted propone, más pruebas manuales) o estáticamente (analizando el código fuente de forma automática y manual).

Dicho esto, la mayoría de las aplicaciones tenderían a mostrar vulnerabilidades similares sin importar en qué plataforma se hayan instalado, y tendrían que codificarse de una manera única para que pueda explotarse en una plataforma y no en la otra.

Si encuentra algo diferente entre los servidores, entonces está encontrando problemas con el servidor / infraestructura y no con la aplicación. Sí, hay casos en que una infraestructura particular puede procesar el código de la aplicación de manera diferente, pero eso es un problema con la infraestructura y no con el código de la aplicación en sí.

No vería que hubiera valor en este tipo de pruebas a menos que tenga la intención de ejecutar la aplicación en esos servidores diferentes en producción.