IBM AppScan falso positivo

4

Escanee un sitio web con IBM AppScan e informa múltiples vulnerabilidades, pero cuando lo pruebo manualmente no puedo encontrar el problema exacto.

¿Cómo puede AppScan encontrar vulnerabilidades mientras no puedo encontrarlas al pasar manualmente la misma solicitud en Burp Suite como se muestra en AppScan?

    
pregunta Newbie1 15.12.2015 - 07:35
fuente

2 respuestas

4

Hay dos respuestas posibles.

Cualquiera : debido a que los exploradores de vulnerabilidades son por su propia naturaleza 'tontos', es decir, están operando en base a una lógica preconfigurada, harán una mejor estimación de lo que podría estar mal con algo que usa el Lógica incorporada dentro del código del escáner y puede cometer errores.

Por ejemplo, si el escáner está buscando una cadena en particular en un encabezado (o lo que sea), marcará un problema potencial para todos y cada uno de los encabezados coincidentes, que pueden incluir encabezados que no tienen una vulnerabilidad / debilidad asociada a ellos .

Los escáneres generalmente son muy buenos para identificar debilidades "obvias", pero para ser efectivos (es decir, no faltar demasiado) tienen que encontrar un equilibrio entre las cosas que faltan y reportar falsos positivos. No estoy familiarizado con el escáner de IBM ... puede ser posible configurarlo para reducir el número de falsos positivos (lo que puede o no aumentar el riesgo de que falten vulnerabilidades).

O : el proxy que se usa para confirmar los resultados del escáner:

  • No tiene la funcionalidad disponible (poco probable en el caso de BURP)
  • No se ha configurado correctamente para capturar los datos (totalmente posible para los nuevos usuarios)
  • Los datos del proxy no se interpretan correctamente (depende de la complejidad de la vulnerabilidad y del conocimiento del usuario)
respondido por el R15 15.12.2015 - 08:05
fuente
2

El hecho simple es que todas las herramientas automatizadas de escaneo de aplicaciones web tienen un compromiso entre falsos positivos (marcar un problema cuando no está presente) y falsos negativos (no marcar un problema que está presente) y tienen que hacer un balance entre los dos como parte del desarrollo del producto.

La forma en que se codifican generalmente los problemas como el que usted describe es hacer que la solicitud de recorrido del directorio a / etc / passwd coincida con la cadena en la respuesta de las cosas que normalmente estarían presentes en un archivo passwd.

Por lo tanto, un enfoque ingenuo podría ser buscar cosas como root , que podría ser el usuario root en un archivo de contraseña, pero obviamente también podría ocurrir en otros archivos.

Para indicar que el escáner puede hacer coincidir cadenas más precisas, pero luego corre el riesgo de perder el hallazgo si la cadena no está exactamente en el archivo de contraseña, por lo que puede asignar probabilidades a varios conjuntos de cadenas y decidir a qué nivel probabilidad de reportar el problema.

Al final del día, la exploración no es 100% precisa para todos los problemas, por lo que los evaluadores de seguridad aún están en un trabajo ...

    
respondido por el Rоry McCune 15.12.2015 - 11:59
fuente

Lea otras preguntas en las etiquetas