Web应用程序漏洞扫描-假阳性-识别和消除

Question

Web应用程序漏洞和潜在的假阳性

作为渗透测试器，应用程序漏洞扫描是任何渗透测试方法的重要组成部分。在应用程序扫描阶段，可能会出现几种不同类型的漏洞。主要是..。

SQL注入/盲目SQL注入、跨站点脚本/持久性跨站点脚本、命令注入、XPath注入、SOAP/AJAX攻击、CSRF/HTTP响应拆分、任意文件上传攻击、远程文件包括(PHP代码注入)、应用程序errors.....etc (我可能遗漏了一些，如果我忽略了上面提到的话，请不要问我)。

使用扫描仪时，您可以放心地遇到假阳性。根据我的经验，SQL注入漏洞将隐藏最错误的结果。

假阳性是使用为节省时间而创建的扫描仪的一种恶劣的副产品。我还没有找到一个直接涉及这个问题的主题，我想开始一个简短的问答。

所以这篇文章的重点是:当面对扫描输出和潜在的漏洞时，实际上是假阳性。有哪些有效措施来确定这些“假阳性”(如果没有指定为假阳性的话)，核实它们，然后纠正它们？

我知道每个漏洞都有一个独立的过程，但我想首先关注SQL注入和跨站点脚本。

任何帮助都很感激..。

Answer 1

我个人看到很多假阳性与交叉站点请求伪造。

这可能不是你想要的答案，但你需要尽可能地验证它们。

如果你发现某件事超出了你的能力，你有几个选择：

• 学会如何去做--这当然需要时间和经验，这是我们并不总是有的奢侈品。
• 依靠知识渊博的系统管理员
• 依靠知识渊博的开发人员
• 依靠供应商(如果这是第三方应用程序)来确认/拒绝该漏洞

漏洞扫描结果可以覆盖广泛的技术和平台。你不可能在所有这些问题上都是专家。

Answer 2

利用其他专业工具来帮助您验证已报告的或潜在的漏洞可以帮助很大的帮助。

例如，使用像XSS气浮器这样的工具来确认JS的执行。

对于SQLi，在处理其他任务时，我通常会激发多个SQLmap副本来测试不同报告的SQLi向量。

可能没有办法避免手工工作或调查。更宽松的漏洞检查通常会报告假阳性，但如果过紧它们，则会得到假阴性。我认为大多数工具都在争取一个合理的平衡。