¿Vale la pena instalar la misma aplicación web en diferentes tipos de servidores web en una evaluación de vulnerabilidad?

5

Al realizar una evaluación de vulnerabilidad web con herramientas como Acunetix y w3af, ¿vale la pena instalar la misma aplicación web en varios tipos de servidores web (Apache, IIS, etc.)?

Si se pudieran encontrar diferencias, en los resultados del escaneo, entre los diferentes servidores web, ¿qué tipo de vulnerabilidades diferentes podrían encontrarse? Además, tenga en cuenta que solo estoy probando la aplicación web; No estoy probando Apache, PHP, MySQL, etc.

    
pregunta fvaliquette 08.02.2015 - 21:21
fuente

2 respuestas

1

Esto podría ser beneficioso si los clientes compran su aplicación web y luego la instalan en una plataforma propia y usted necesita protegerla a pesar del SO subyacente y la arquitectura de back-end.

Si la aplicación se ha juntado correctamente y trata la entrada del usuario correctamente en todos los lugares, entonces no debería haber diferencia. Sin embargo, si algunas partes de la aplicación permitirán que funcione un exploit de MS SQL mientras que MySQL fallara, o un exploit de Windows funcionará, sin embargo, cuando está alojado en Linux, esto no es posible, entonces hay beneficios. Por supuesto, no sabrá esto a menos que evalúe las vulnerabilidades en estas plataformas, ya sea dinámicamente (usando un escáner como usted propone, más pruebas manuales) o estáticamente (analizando el código fuente de forma automática y manual).

Dicho esto, la mayoría de las aplicaciones tenderían a mostrar vulnerabilidades similares sin importar en qué plataforma se hayan instalado, y tendrían que codificarse de una manera única para que pueda explotarse en una plataforma y no en la otra.

    
respondido por el SilverlightFox 09.02.2015 - 09:58
fuente
0

Si encuentra algo diferente entre los servidores, entonces está encontrando problemas con el servidor / infraestructura y no con la aplicación. Sí, hay casos en que una infraestructura particular puede procesar el código de la aplicación de manera diferente, pero eso es un problema con la infraestructura y no con el código de la aplicación en sí.

No vería que hubiera valor en este tipo de pruebas a menos que tenga la intención de ejecutar la aplicación en esos servidores diferentes en producción.

    
respondido por el schroeder 08.02.2015 - 23:09
fuente

Lea otras preguntas en las etiquetas