W3af和自动漏洞扫描器与手动测试

Question

与手动查找漏洞相比，像w3af这样的工具在查找web应用程序漏洞方面有多有效？他们是否能够从OWASP前10名中找到所有漏洞，如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传？还是会有一些漏洞从裂缝中掉下来，而仍未被发现？

Answer 1

手工测试：

• 缓慢；
• 人类可以忘记一些重要的测试；
• 复杂、复杂和创造性的测试。

自动化测试：

• 速度快；
• 测试了很多(数千)漏洞(永远不会忘记一个测试)；
• 修复后容易重复；
• “蛋糕食谱”(只测试设计用来测试的东西)。

基于以上各点，我们可以说，每种类型的测试都有其各自的正反两面。

他们是否能够从OWASP前10名中找到所有漏洞，如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传？

许多Web安全扫描器被设计用来查找上述所有类型的漏洞，但没有什么可以保证它们能够找到上述漏洞的所有实例。

还是会有一些漏洞从裂缝中掉下来，而仍未被发现？

一些漏洞可能会从裂缝中掉下来，没有一个工具是完美的。

Answer 2

在我看来，工具总是有限的。测试授权机制和会话固定(我还没有跨出一个可以做到这一点的工具)只是两个工具不能(正确地)做的例子。工具对于所谓的低挂水果(大多数OWASP前10个问题)都很好，但不能称之为渗透测试。

我通常使用工具来获得系统的全局指示。在后台运行时，我执行手动测试。根据我作为安全顾问的经验，web应用程序扫描器发现的漏洞数量总是少于手动发现的漏洞。

另一件事是合并漏洞，例如：

1. 会话cookie没有设置httpOnly属性。
2. 应用程序易受CSRF攻击。
3. 应用程序容易受到持续的XSS攻击。

虽然NO1本身可以被认为是低的，而NO2和NO3是高的，但三者的结合将导致会话劫持，这可以被认为是至关重要的。这是工具做不到的事情。

因此，是的，大多数漏洞都会发现OWASP的十大缺陷。是的，有可能一些漏洞不会被发现，这可能是由于时间的限制。

同时要记住，今天被认为是足够安全的东西下个月可能是不安全的。

Answer 3

与手动查找漏洞相比，像w3af这样的工具在查找web应用程序漏洞方面有多有效？

它们对它们的本质是有效的。扫描仪会找到低挂的水果。

然而，它们通常无法找到由有缺陷的业务逻辑引起的漏洞。在这个地区，人类有优势。

扫描仪通常测试10's的上千个漏洞，这对于一个人来说是不可行的。在这个领域，扫描仪有一个优势。

他们是否能够从OWASP前10名中找到所有漏洞，如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传？

是。

如果您想将扫描限制在OWASP前10位，我们将进行OWASP扫描。

还是会有一些漏洞从裂缝中掉下来，而仍未被发现？

是。

扫描器并不总是每次都会发现相同数量或类型的漏洞。至少这是我十多年来使用Webinspect的经验。这意味着扫描结果"A“可能包含10个XSS实例，而扫描结果"B”可能包含7个XSS实例。

通常，当我看到这种情况发生时，A和B的情况是相同的，但是B列出了较少的受影响的参数。