Tweet
Um novo estudo foi publicado pela UCSB analisar o desempenho de vários aplicativos web scanners de vulnerabilidade, que os autores dizem que é "a maior avaliação dos scanners de aplicações web em termos de número de ferramentas de teste ... e da classe de vulnerabilidades analisadas".
Os autores criaram seu próprio aplicativo de teste que contém uma grande variedade de vulnerabilidades e desafios rastejando, e realizou o que parece ser muito detalhada e rigorosa análise de desempenho de cada scanner contra este pedido.
Scanners foram pontuados com base em sua capacidade de identificar diferentes tipos de vulnerabilidades em diferentes modos de varredura. Os escores globais, juntamente com os preços de cada scanner, foram os seguintes:
Além destes principais resultados, os autores também chegou às seguintes conclusões:
• Há classes inteiras de vulnerabilidades que não pode ser detectados pelo estado de scanners de última geração, incluindo senhas fracas, controles de acesso quebrados e falhas de lógica.
• O rastreamento de aplicativos Web moderna pode ser um sério desafio para scanners de vulnerabilidade web de hoje, devido a suporte incompleto das tecnologias comuns do lado do cliente e da natureza complexa stateful de aplicações de hoje.
• Não existe forte correlação entre preço e capacidade, como alguns dos scanners gratuitos ou muito custo-efetivo realizado, bem como scanners que custam milhares de dólares
Devo dizer, estou completamente de acordo com estas conclusões. Em primeiro lugar, Burp Scanner foi desenhado com uma consciência clara do tipo de questões que os scanners podem confiantemente procurar. Destina-se a automatizar tudo o que pode ser confiavelmente automatizada, dando-lhe confiança em sua produção, e deixando você se concentrar sobre os aspectos do trabalho que exigem experiência e da inteligência humana entregar. Em segundo lugar, a elaboração de um rastreador totalmente automatizado que oferece uma cobertura abrangente de aplicações de hoje, com suas tecnologias muito variadas e desenhos de estado, é uma tarefa hercúlea. Mesmo os melhores rastreadores cair muito longe deste, e afirmando que caso contrário, apenas dá falsa confiança que esta parte fundamental de testes de aplicativos pode ser deixada para uma máquina. Burp Spider prevê o rastreamento de capacidades, tanto ativo como passivo, mas esse recurso é projetado para ser usado em conjunto com o mapeamento de aplicação manual, humanos e senso de verificar a cobertura alcançada e as solicitações que precisam ser verificados em busca de vulnerabilidades.
Fiquei, naturalmente, o prazer de ver esse reconhecimento das capacidades Burp Scanner, e a comparação do desempenho acima scanners 'versus preço deve fazer uma leitura interessante para quem está decidindo quais os produtos a gastar o seu dinheiro. Fique tranqüilo, eu vou estar passando o resultado bruto a partir deste estudo em detalhe, e procurando maneiras de fazer Burp ainda mais eficaz.
fonte Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Os autores criaram seu próprio aplicativo de teste que contém uma grande variedade de vulnerabilidades e desafios rastejando, e realizou o que parece ser muito detalhada e rigorosa análise de desempenho de cada scanner contra este pedido.
Scanners foram pontuados com base em sua capacidade de identificar diferentes tipos de vulnerabilidades em diferentes modos de varredura. Os escores globais, juntamente com os preços de cada scanner, foram os seguintes:
Scanner________Contagem____________Preço
Acunetix__________ 14 __________ 4,995 dólares - $ 6,350
WebInspect________13___________ 6.000 $ - $ 30.000
Arroto ____________13___________ 191 $
N-Stalker__________ 13___________ 899 dólares - 6.299 dólares americanos
AppScan __________10___________ 17550 $ - $ 32,500
w3af w3af _________ 9___________ Free
Paros Paros_________ 6___________ Free
Hailstorm Dilúvio______6___________ 10 mil dólares americanos
NTOSpider__________4___________ 10 mil dólares americanos
Milescan____________4___________ 1.495 dólares americanos
Grendel-Scan________3___________ Free
Acunetix__________ 14 __________ 4,995 dólares - $ 6,350
WebInspect________13___________ 6.000 $ - $ 30.000
Arroto ____________13___________ 191 $
N-Stalker__________ 13___________ 899 dólares - 6.299 dólares americanos
AppScan __________10___________ 17550 $ - $ 32,500
w3af w3af _________ 9___________ Free
Paros Paros_________ 6___________ Free
Hailstorm Dilúvio______6___________ 10 mil dólares americanos
NTOSpider__________4___________ 10 mil dólares americanos
Milescan____________4___________ 1.495 dólares americanos
Grendel-Scan________3___________ Free
• Há classes inteiras de vulnerabilidades que não pode ser detectados pelo estado de scanners de última geração, incluindo senhas fracas, controles de acesso quebrados e falhas de lógica.
• O rastreamento de aplicativos Web moderna pode ser um sério desafio para scanners de vulnerabilidade web de hoje, devido a suporte incompleto das tecnologias comuns do lado do cliente e da natureza complexa stateful de aplicações de hoje.
• Não existe forte correlação entre preço e capacidade, como alguns dos scanners gratuitos ou muito custo-efetivo realizado, bem como scanners que custam milhares de dólares
Devo dizer, estou completamente de acordo com estas conclusões. Em primeiro lugar, Burp Scanner foi desenhado com uma consciência clara do tipo de questões que os scanners podem confiantemente procurar. Destina-se a automatizar tudo o que pode ser confiavelmente automatizada, dando-lhe confiança em sua produção, e deixando você se concentrar sobre os aspectos do trabalho que exigem experiência e da inteligência humana entregar. Em segundo lugar, a elaboração de um rastreador totalmente automatizado que oferece uma cobertura abrangente de aplicações de hoje, com suas tecnologias muito variadas e desenhos de estado, é uma tarefa hercúlea. Mesmo os melhores rastreadores cair muito longe deste, e afirmando que caso contrário, apenas dá falsa confiança que esta parte fundamental de testes de aplicativos pode ser deixada para uma máquina. Burp Spider prevê o rastreamento de capacidades, tanto ativo como passivo, mas esse recurso é projetado para ser usado em conjunto com o mapeamento de aplicação manual, humanos e senso de verificar a cobertura alcançada e as solicitações que precisam ser verificados em busca de vulnerabilidades.
Fiquei, naturalmente, o prazer de ver esse reconhecimento das capacidades Burp Scanner, e a comparação do desempenho acima scanners 'versus preço deve fazer uma leitura interessante para quem está decidindo quais os produtos a gastar o seu dinheiro. Fique tranqüilo, eu vou estar passando o resultado bruto a partir deste estudo em detalhe, e procurando maneiras de fazer Burp ainda mais eficaz.
fonte Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
