¿Cuáles son las limitaciones de los escáneres de vulnerabilidad?

Su limitación es que sus falsos negativos y, en particular, sus índices de falsos positivos son más altos que los humanos expertos que realizan la misma tarea.

Su gran ventaja es que pueden cubrir grandes conjuntos de vulnerabilidades conocidas y rastrear sitios web completos mucho, mucho más rápido que los humanos.

Dos ejemplos: una vez vi que un escáner de aplicaciones web señalaba un archivo que encontraba por contener una dirección IP local que podría ser una fuga de información. Verifiqué que no fue así, pero también detecté en el mismo archivo un par clave / valor de dbpass: bigsecret . Un escáner de vulnerabilidades no tiene forma de hacer ninguna de estas cosas.

Otro escaneo encontró lo que decía que era una inyección SQL. No lo era, pero estaba haciendo eco de la carga útil a la página. Con un poco de inquietud, lo convertí en un exploit XSS que el resto de la exploración no encontró.

Muchos escáneres mantienen listas de números de versión de software que se sabe que contienen vulnerabilidades. Sin embargo, la mayoría de las distribuciones de seguridad de las distribuciones de Linux se convierten en software más antiguo pero aún compatible sin cambiar las características o el número de versión. (Por lo general, añaden algo a la cadena de versión). Esto causa falsos positivos.

El método anterior es más seguro que intentar explotar fallas. Para intentar mantener los falsos positivos hacia abajo, algunos escáneres crean formas "seguras" de explotar vulnerabilidades. Otros incluyen "fuzzing" que envía datos aleatorios o semi-aleatorios al servicio con la esperanza de romperlos. En ambos casos, los escáneres pueden pasar por alto fácilmente los signos de un agujero explotable que un humano capacitado vería.

Por último, a veces incluso XSS no es "seguro" y no hay retroalimentación para que el escáner lo detecte. Analicé lo que el cliente prometió era un sistema de demostración, no conectado a la producción, pero resultó que el formulario "Soporte de contacto" estaba activo y en realidad fue a soporte. Después de que su pantalla principal se llenara con 10,000 ventanas emergentes que contenían variaciones de "¡Encontró un XSS en el parámetro de formulario 'sujeto'!" me llamaron y me pidieron que detuviera la exploración.

He hecho una pequeña evaluación de vulnerabilidad con Nessus. Algunas de las limitaciones en las que puedo pensar es que se basa en vulnerabilidades conocidas. En segundo lugar, no funciona con ninguna aplicación personalizada.