Benchmark de Web Application Vulnerability Scanners

Shay-Chen de SecToolAddict ha realizado una recopilación de herramientas de Web Application Vulnerability Scanners y la documentación de cada una de ellas y luego probó las características de cada una de ellas para buscar la "mejor" en base a distintos modelos de evaluación basados en más de 900 tests.

Debido a que analizó mas de 60 escáneres era difícil hacerse de una impresión exacta y Chen dice que "todavía no tengo una recomendación perfecta pero estoy seguro que tengo muchas respuestas y una metodología muy completa, lógica y clara para emplear toda la información recolectada".

En su análisis comparó 10 aspectos diferentes de las herramientas y eligió la colección con el objetivo de proporcionar herramientas prácticas para tomar una decisión, y obtener una visión completa del panorama.

La investigación abarca aspectos de las últimas versiones de 11 scanners de aplicaciones web comerciales, y las últimas versiones de la mayoría de los 49 scanners de aplicaciones web Open-Source e incluye, entre otros, los siguientes componentes y exámenes:

• Una comparación de precios, en relación con el resto de los resultados de referencia
• Versatilidad del Scanner
• Cantidad y tipo de Plugins para detectar una vulnerabilidad
• Precisión en la detección de ataques XSS
• Precisión en la detección de ataques SQL Injection
• Precisión en la detección de ataques Path Transversal, LFI y RFI
• Puntaje WIVET (Web Input Vector Extractor Teaser)
• WIVET Score Comparación - Automated Crawling / Entrada Vector extracción
• Adaptabilidad del Scanner y características complementarias
• Comparativa de las características de autenticación
• Funciones de escaneo complementarios y productos integrados
• Características generales de escaneo y la impresión general
• Comparación de licencia e información general

Las herramientas comparadas fueron:

• IBM AppScan v8.5.0.1, Build 42-SR1434 (IBM)
• WebInspect v9.20.277.0, SecureBase 4.08.00 (HP)
• Netsparker v2.1.0, Build 45 (Mavituna Security)
• Acunetix WVS v8.0, Build 20120613 (Acunetix)
• Syhunt Dynamic (SandcatPro) v4.5.0.0/1 (Syhunt)
• Burp Suite v1.4.10 (Portswigger)
• ParosPro v1.9.12 (Milescan) - WIVET / Other
• JSky v3.5.1-905 (NoSec) - WIVET / Other
• WebCruiser v2.5.1 EE (Janus Security)
• Nessus v5.0.1 - 20120701 (Tenable Network Security) - Web Scanning Features
• Ammonite v1.2 (RyscCorp)

Los escáneres fueron probados contra la última versión de WAVSEP (v1.2, integranda en ZAP-WAVE), una plataforma de evaluación diseñada para evaluar la precisión de la detección de los escáneres de aplicaciones web. El propósito de los casos de prueba de WAVSEP es proporcionar una escala para la comprensión de la detección de cada herramienta, los puntos que pueden pasar por alto en cada exploración así como las distintas variaciones que puede ser detectada por cada herramienta.
Los diferentes escáneres fueron probados contra los siguientes casos de prueba:

• 816 casos de prueba de Path Traversal.
• 108 casos de prueba de inclusión de archivos remotos (XSS mediante RFI).
• 66 casos de prueba de Cross Site Scripting reflejado.
• 80 casos de prueba de inyección SQL.
• 46 casos de prueba Blind SQL Injection.
• 10 casos de prueba de inyección SQL basada en tiempo.
• 7 categorías diferentes de falsos positivos vulnerabilidades XSS.
• 10 categorías diferentes de falsos positivos de vulnerabilidades SQLi.
• 8 categorías diferentes de falsos positivos de Path Travesal y LFI.
• 6 categorías diferentes de vulnerabilidades falsas de de inclusión de archivos remotos (RFI).

Con el fin de asegurar que las características de detección de cada escáner se realiazó una evaluación comparativa adicional con una plataforma similar a WAVSEP con con un diseño diferente.

El informde de Chen se puede ver en línea (mirror) o bien consultar este PDF desde SANS y otro de Paper de Hack Miami

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín