Un artículo en la literatura proporciona algunos datos parciales sobre este tema [1].
El documento analizó 9 aplicaciones web utilizando dos métodos: (1) pruebas de penetración de caja negra y (2) revisión manual de códigos por un experto. Comparó cuántas vulnerabilidades fueron encontradas por cada uno.
En total, el análisis encontró un total de 91 vulnerabilidades. 39 de
Se encontraron (43%) mediante pruebas de penetración de caja negra. 71 de ellos
(78%) fueron encontrados por revisión manual del código. No hay forma de saber cuántos más.
Podrían existir vulnerabilidades que ninguna técnica ha descubierto.
Por lo tanto, una posible conclusión es que las pruebas de penetración de la caja negra encuentran, en promedio, menos de la mitad de todas las vulnerabilidades presentes en una aplicación web.
Otra conclusión es que la combinación de ambos métodos parece ser mejor que uno solo; cada uno detecta algunas vulnerabilidades que son pasadas por alto por el otro. En el documento mencionado anteriormente, ningún método por sí solo fue suficiente para detectar todas las vulnerabilidades:
La revisión manual encontró 52 vulnerabilidades (57%) que no fueron detectadas por
pentesting de caja negra y pentesting de caja negra encontraron 20 vulnerabilidades
(22%) que no fueron detectados por la revisión manual del código.
Sin embargo, este documento tiene una serie de limitaciones. Se ve a solo 9 aplicaciones web. Es difícil saber si estas son representativas de todas las aplicaciones web en la naturaleza. La revisión manual del código fue realizada por un solo revisor. El pentesting de la caja negra fue realizado por un solo probador y usando solo una herramienta. No está claro si la efectividad de estos métodos puede variar de una persona a otra o de una herramienta de prueba a otra. Por lo tanto, estos datos son solo un primer vistazo y no pueden ser tratados como la respuesta final.
[1] Matthew Finifter, David Wagner.
Explorando la relación entre las herramientas de desarrollo de aplicaciones web y la seguridad . Aplicaciones web 2011.