Los evaluadores de penetración profesionales suelen ser buenos para encontrar todo tipo de vulnerabilidades, incluidas fallas lógicas, que son muy específicas del sitio que se está probando. Sin embargo, al ser una actividad manual, las pruebas de penetración se realizan con poca frecuencia, por lo que existe el deseo de que los desarrolladores hagan más control de calidad de la seguridad en la empresa.
El control de calidad de la seguridad interna generalmente se realiza con una herramienta de seguridad, ya sea un escáner web o un analizador de código estático. Estas herramientas son excelentes para algunas vulnerabilidades (por ejemplo, secuencias de comandos entre sitios), pero generalmente no pueden encontrar fallas en la lógica o la autorización.
Entonces, ¿cómo podemos ayudar a los desarrolladores a encontrar fallas de lógica y autorización?