WEB aplikāciju testēšanas rīku salīdzinājums 2

Internetā ir pieejams jauns un ļoti plašs aplikāciju drošības testa rīku salīdzinājums.
Kādā veidā notika šis tests var lasīt Security Tools Benchmarking.
Pirmo reizi šāds tests parādījās 2010. gadā un to pamanīju 2011. gadā.

Par vērā ņemamo apjomu un precizitāti liecina izmantotie testa piemēri:

The various scanners were tested against the following test cases (GET/POST):
60 test cases that were vulnerable to Phishing via Unvalidated Redirect.
184 test cases that included Hidden, Obsolete and Backup files.
816 test cases that were vulnerable to Path Traversal attacks.
108 test cases that were vulnerable to (XSS via) Remote File Inclusion attacks.
66 test cases that were vulnerable to Reflected Cross Site Scripting attacks.
80 test cases that contained Error Disclosing SQL Injection exposures.
46 test cases that contained Blind SQL Injection exposures.
10 test cases that were vulnerable to Time Based SQL Injection attacks.

The various scanners were also tested against a variety of false positive scenarios:
9 different categories of false positive Unvalidated Redirect vulnerabilities.
3 different categories of false positive Obsolete/Hidden/Backup files.
8 different categories of false positive Path Traversal / LFI vulnerabilities.
6 different categories of false positive Remote File Inclusion vulnerabilities.
7 different categories of false positive Reflected XSS vulnerabilities.
10 different categories of false positive SQL Injection vulnerabilities.

Apskatot rezultātus visvairāk interesēja tieši bezmaksas rīku salīdzinājums, kur redzams, ka OWASP ZAP pēc iespējām un rezultātiem ir līderis:

Paldies autoriem par ieguldīto darbu, jo šādā veidā ir iespējams ieraudzīt kādus rezultātus parāda tavs izvēlētais darbarīks un iepazīt jaunus, piemēram, IronWASP.

Noslēgumā patīkami pārsteidz, ka OWASP ZAP pēc iespējām ir diezgan tuvu maksas produktiem, piemēram, IBM AppScan, kamēr, lai lietotu šādu rīku ir jāšķiras no 17200$.

Leave a Reply