La prueba de penetración de caja negra es una de las comprobaciones de vulnerabilidades en una aplicación web. Puede encontrar algunas vulnerabilidades, pero no todas.
¿Qué fracción de vulnerabilidades encuentra el pentesting en caja negra, en promedio? ¿Alguien tiene conocimiento de algún dato o evidencia sobre esto?
Un artículo en la literatura proporciona algunos datos parciales sobre este tema [1].
El documento analizó 9 aplicaciones web utilizando dos métodos: (1) pruebas de penetración de caja negra y (2) revisión manual de códigos por un experto. Comparó cuántas vulnerabilidades fueron encontradas por cada uno.
En total, el análisis encontró un total de 91 vulnerabilidades. 39 de Se encontraron (43%) mediante pruebas de penetración de caja negra. 71 de ellos (78%) fueron encontrados por revisión manual del código. No hay forma de saber cuántos más. Podrían existir vulnerabilidades que ninguna técnica ha descubierto.
Por lo tanto, una posible conclusión es que las pruebas de penetración de la caja negra encuentran, en promedio, menos de la mitad de todas las vulnerabilidades presentes en una aplicación web.
Otra conclusión es que la combinación de ambos métodos parece ser mejor que uno solo; cada uno detecta algunas vulnerabilidades que son pasadas por alto por el otro. En el documento mencionado anteriormente, ningún método por sí solo fue suficiente para detectar todas las vulnerabilidades: La revisión manual encontró 52 vulnerabilidades (57%) que no fueron detectadas por pentesting de caja negra y pentesting de caja negra encontraron 20 vulnerabilidades (22%) que no fueron detectados por la revisión manual del código.
Sin embargo, este documento tiene una serie de limitaciones. Se ve a solo 9 aplicaciones web. Es difícil saber si estas son representativas de todas las aplicaciones web en la naturaleza. La revisión manual del código fue realizada por un solo revisor. El pentesting de la caja negra fue realizado por un solo probador y usando solo una herramienta. No está claro si la efectividad de estos métodos puede variar de una persona a otra o de una herramienta de prueba a otra. Por lo tanto, estos datos son solo un primer vistazo y no pueden ser tratados como la respuesta final.
[1] Matthew Finifter, David Wagner. Explorando la relación entre las herramientas de desarrollo de aplicaciones web y la seguridad . Aplicaciones web 2011.
Esta pregunta sería difícil de resolver, salvo el problema de detención.
Supongo que se podría decir que un porcentaje menor o mayor en comparación con otras técnicas, pero generalmente nunca es igual, cero o todo (especialmente no con el mismo conjunto de ojos durante el mismo tipo de marco de tiempo).
Actualización para mayor claridad:
Una pregunta mejor hubiera sido: "¿Qué porcentaje de MÁS vulnerabilidades se encuentran cuando se combinan las aplicaciones de prueba de pluma con la asistencia de código fuente y SAST / IAST comercial que simplemente la caja negra DAST?"
Lea otras preguntas en las etiquetas web-application penetration-test statistics