Análisis de vulnerabilidades de aplicaciones web: falsos positivos: reconocimiento y eliminación

1

Vulnerabilidad de aplicaciones web y posibles falsos positivos

Como probador de penetración, el análisis de vulnerabilidad de la aplicación es una parte importante de cualquier metodología de prueba de penetración. En la etapa de Exploración de aplicaciones hay varios tipos diferentes de vulnerabilidades que pueden surgir. Los principales son ...

Inyección de SQL / Inyección de SQL ciego, secuencias de comandos entre sitios / secuencias de comandos persistentes entre sitios, inyección de comando, Inyección de XPath, Ataques de SOAP / AJAX, División de respuesta CSRF / HTTP, ataques arbitrarios de carga de archivos, archivo remoto incluido (inyección de código PHP), errores de aplicación ..... etc (Es posible que haya omitido algo, por favor, no me interrogue si me olvido de mencionarlas más arriba)

Al usar un escáner, puede estar seguro de encontrar un falso positivo. En mi experiencia, la vulnerabilidad de inyección SQL es lo que albergará la mayoría de los falsos positivos.

Los falsos positivos son un subproducto desagradable del uso de escáneres creados para ahorrar tiempo. No he encontrado un tema que toque directamente este tema y quería comenzar una breve sesión de preguntas y respuestas; A.

Así que aquí está el punto de esta publicación completa: Cuando nos enfrentamos a la salida de escaneo y una vulnerabilidad potencial, en realidad es un falso positivo. ¿Cuáles son las medidas efectivas para determinar estos "falsos positivos" (si aún no están designados como tales), verificarlos y luego corregirlos?

Sé que hay un proceso independiente para cada vulnerabilidad, pero me gustaría centrarme en la inyección de SQL y las secuencias de comandos entre sitios inicialmente.

Cualquier ayuda es apreciada ...

    
pregunta Sh1nu11bi 15.10.2014 - 21:05
fuente

2 respuestas

1

Aprovechar otras herramientas especializadas para ayudarlo a verificar las vulnerabilidades reportadas o potenciales puede ayudar mucho.

Por ejemplo, usar herramientas como XSS Validator para confirmar realmente la ejecución de JS.

Para SQLi, a menudo arranco varias copias de SQLmap para probar los diferentes vectores SQLi informados mientras trabajo en otras tareas .

Probablemente no haya manera de evitar el trabajo manual o la investigación. Las comprobaciones de vulnerabilidad más flojas a menudo informan falsos positivos, pero si las aprietas demasiado obtienes falsos negativos. Creo que la mayoría de las herramientas se esfuerzan por lograr un equilibrio razonable.

    
respondido por el Tate Hansen 15.10.2014 - 23:28
fuente
1

Personalmente veo muchos falsos positivos con la falsificación de solicitudes en sitios cruzados.

Puede que esta no sea la respuesta que está buscando, pero necesita verificarlas lo mejor que pueda.

Si encuentra algo que está más allá de su capacidad, tiene un par de opciones:

  • aprenda cómo hacerlo; por supuesto, esto requiere tiempo y experiencia, un lujo que no siempre tenemos
  • apoyarse en un administrador de sistemas bien informado
  • apóyate en un desarrollador experto
  • confíe en el proveedor (si se trata de una aplicación de terceros) para confirmar / rechazar la vulnerabilidad

Los resultados de los análisis de vulnerabilidad pueden cubrir una amplia gama de tecnologías y plataformas. No se puede esperar que seas un experto en todos ellos.

    
respondido por el k1DBLITZ 15.10.2014 - 23:08
fuente

Lea otras preguntas en las etiquetas