¿Qué tan efectivas son las herramientas como w3af en la búsqueda de vulnerabilidades de aplicaciones web en comparación con la búsqueda manual de vulnerabilidades? ¿Pueden encontrar todas las vulnerabilidades del top 10 de OWASP, como xss reflejado, xss persistente, sqli, lfi / rfi y carga de archivos sin restricciones? ¿O algunas vulnerabilidades caerán por las grietas y permanecerán sin ser descubiertas?
Las herramientas siempre son limitadas en mi opinión. La prueba de un mecanismo de autorización y la fijación de la sesión (todavía tengo que cruzar una herramienta que puede hacer esto) son solo dos ejemplos que una herramienta no puede (correctamente) hacer. Las herramientas son buenas para los llamados frutos de baja altura (la mayoría de los 10 temas principales de OWASP), pero no se pueden llamar pruebas de penetración.
Generalmente uso herramientas para obtener una indicación global del sistema. Mientras se ejecuta en segundo plano realizo pruebas manuales. En mi experiencia como consultor de seguridad, la cantidad de vulnerabilidades descubiertas por los escáneres de aplicaciones web siempre es menor que la que encuentro manualmente.
Otra cosa es combinar vulnerabilidades, por ejemplo:
Si bien no 1 por sí solo puede considerarse bajo y no 2 y 3 son altos, la combinación de los tres llevará al secuestro de la sesión, lo que puede considerarse crítico. Esto es algo que una herramienta no hará.
Entonces, sí, la mayoría de las vulnerabilidades descubrirán las 10 principales fallas de OWASP. Y sí, es posible que no se descubran algunas vulnerabilidades, esto puede deberse a restricciones de tiempo.
También tenga en cuenta que lo que se considera lo suficientemente seguro hoy puede ser no seguro el próximo mes.
Pruebas manuales:
Pruebas automatizadas:
Sobre la base de los puntos anteriores, podemos decir que cada tipo de prueba tiene sus propios aspectos positivos y negativos.
¿Pueden encontrar todas las vulnerabilidades del top 10 de OWASP, como reflejado xss, xss persistentes, sqli, lfi / rfi y archivos sin restricciones subir?
Muchos escáneres de seguridad web fueron diseñados para encontrar todos los tipos de vulnerabilidades anteriores, pero nada puede garantizar que encontrarán todas las instancias de las vulnerabilidades anteriores.
O algunas vulnerabilidades caerán por las grietas y permanecerán sin descubrir?
Algunas vulnerabilidades pueden caer a través de las grietas, ninguna herramienta es perfecta.
¿Qué tan efectivas son las herramientas como w3af en la búsqueda de aplicaciones web? vulnerabilidades en comparación con la búsqueda de vulnerabilidades de forma manual?
Son efectivos por lo que son. Los escáneres encontrarán la fruta de baja altura.
Sin embargo, por lo general, fallan al encontrar vulnerabilidades causadas por una lógica empresarial defectuosa. En esta área, los humanos tienen la ventaja.
Los escáneres normalmente prueban 10 de miles de vulnerabilidades que no es factible que una sola persona logre. En esta área, los escáneres tienen una ventaja.
¿Pueden encontrar todas las vulnerabilidades del top 10 de OWASP, como reflejado xss, xss persistentes, sqli, lfi / rfi y archivos sin restricciones subir?
Sí.
Webinspect tiene un escaneo OWASP si desea restringir el escaneo al top 10 de OWASP
O algunas vulnerabilidades caerán por las grietas y permanecerán sin descubrir?
Sí.
Los escáneres no siempre encontrarán la misma cantidad o tipo de vulnerabilidades cada vez. Al menos, esta ha sido mi experiencia con Webinspect durante más de 10 años. Lo que significa que el resultado del análisis "A" puede contener 10 instancias de XSS, mientras que los resultados del análisis "B" pueden contener 7 instancias de XSS.
Generalmente, cuando veo que esto sucede, es la misma página en los casos A y B, pero B enumera menos parámetros afectados.
Lea otras preguntas en las etiquetas web-application vulnerability-scanners