En mi sitio web tengo una vulnerabilidad de inyección de SQL.
Pero cuando escaneo mi sitio web con Nessus en "Pruebas de aplicaciones web" no hay resultados en la inyección de SQL.
¿Por qué es esto? ¿Qué debo hacer para que esto funcione?
Nessus es solo una herramienta, puede hacer las cosas que usted configura, pero no es inteligente de ninguna manera.
Si está detectando SQL como un usuario autenticado, Nessus no podrá hacer esto a menos que permita que se autentique en su aplicación
Si lo está detectando en una URL específica, debe asegurarse de que Nessus esté mirando esa URL y de que esté revisando para SQL.
Muchas cosas que Nessus pierde se deben a una mala configuración o permisos, pero incluso una vez que haya configurado una herramienta a la perfección, todas tienen falsos positivos y negativos, lo que, por cierto, es la razón por la cual cualquier análisis de seguridad basado únicamente en herramientas no debe ser ¡Confíe sin confirmación manual!
Lea otras preguntas en las etiquetas web-application sql-injection network-scanners