Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
  • Home
  • A IBLISS
    • Responsabilidade Social
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Teste de Intrusão
    • Conscientização & Cultura
    • Serviços Gerenciados
    • Compliance & Governança
    • AppSec & DevSecOps
  • Conteúdos
    • Blog
    • Materiais Ricos
    • Boletins de vulnerabilidades
  • Oportunidades
  • Contato
IBLISS Digital Security
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Aviso de Privacidade
  • Blog Minuto Proteção
  • Boletins de vulnerabilidades
  • Contato
  • E-book Programa de Conscientização em Segurança da Informação
  • Home
  • IBLISS + GAT Security score
  • Infográfico Gestão de Vulnerabilidades – um passo em direção a um caminho seguro
  • Infográfico Por que investir em um Programa de Conscientização?
  • Infográfico RESILIÊNCIA CIBERNÉTICA
  • Materiais Ricos
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Compliance & Governança
    • Conscientização & Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Serviços Gerenciados
  • Oportunidades
  • Parceiros tecnológicos
  • Política de Cookies
  • Política de segurança da informação – fornecedores, parceiros e prestadores de serviços
  • Política de Segurança de Alto Nível

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Scanners de Aplicação Web
Segurança Digital

Scanners de Aplicação Web

Há um bom tempo estudamos a efetividade dos scanners de aplicação Web e, apesar das melhorias observadas nessas ferramentas, ainda está longe de podermos confiar cegamente nos resultados obtidos por elas.

Recentemente, Larry Suto, pesquisador que ficou famoso por um estudo comparativo entre três grandes ferramentas (Webinspect, AppScan, NTOSpider) em 2007, do qual os resultados não agradaram muito IBM e HP e gerou muita discussão na comunidade de segurança, publicou um novo comparativo de scanners de aplicação com enfoque diferente: avaliar a eficácia e eficiência das soluções. O estudo, entitulado “Analyzing the Accuracy and Time Costs of Web Application Security Scanners” (Analisando a Acuracidade e Custo de Tempo de Scanners de Segurança de Aplicações Web), avaliou as mais expressivas e conhecidas soluções do mercado, sendo:

  • Acunetix Web Security Scanner
  • Appscan da IBM
  • BurpSuitePro da Portswigger.com
  • Hailstorm da Cenzic
  • NTOSpider da NT OBJECTives
  • Qualys Web Application Scanning da Qualys
  • WebInspect da HP

A metodologia de testes desse comparativo foi bastante simples. Não foram exploradas funcionalidades específicas, tecnologias suportadas,  etc. As soluções foram executadas em dois modos diferentes para cada uma das aplicações de teste citadas abaixo. Na primeira rodada, foi utilizada a forma “point and shoot”, onde o teste é realizado sem qualquer tipo de configuração além da URL, e outra forma, fazendo toda configuração e treinamento da solução.

Os ambientes de testes utilizados foram as aplicações providas pelos próprios fabricantes, desenvolvidas para a demonstração das ferramentas. Essas aplicações estão publicamente disponíveis e podem ser utilizadas para aprendizado:

  • HP – http://zero.webappsecurity.com
  • Acunetix TestPHP – http://testphp.acunetix.com
  • Acunetix AspNet – http://testaspnet.acunetix.com
  • Cenzic – http://crackme.cenzic.com
  • IBM – http://demo.testfire.net
  • NTOSpider – http://www.webscantest.com

Então, foram anotadas a quantidade de vulnerabilidades detectadas, o tempo de execução e as taxas de falso-positivos e falso-negativos.

O resultado obtido por este estudo mostra o que nossos consultores já vivênciam na prática: mais da metade das vulnerabilidades presentes nas aplicações de testes não foram detectadas pelas soluções testadas!!! O que significa que se você baseia a segurança de suas aplicações no resultado de um scanner automatizado, existe uma enorme chance do resultado mascarar reais vulnerabilidades, as quais podem estar presentes em sua aplicação e acarretar no comprometimento de seu ambiente e negócio.

O diagnóstico adequado de segurança de aplicações requer interações humanas e a qualidade do trabalho vai depender unicamente do conhecimento e experiência do consultor alocado para o projeto.

A máxima dos advogados se aplica muito bem aqui: “Consulte sempre um Especialista!” 🙂

No próximo post, iremos cutucar um pouco mais essa ferida e discutir mais a fundo os scanners de aplicação Web.

Até lá!

Pentest Scanners Web Attack
Resumo do debate entre Hackers e Security Officers na H2HC
29 de novembro de 2009
Investimentos em Segurança: Re-ativos X Pró-Ativos
1 de março de 2010

Postagens Recentes

  • O Papel da Segurança da Informação no Caso PIX: Lições dos Controles NIST e ISO 27001
  • IBLISS anuncia nova fase de crescimento e reforça time executivo com foco em CTEM
  • Qual a importância em investir em um Programa de Conscientização?
  • Teste de Invasão: Conheça as principais vantagens
  • A importância dos testes de invasão para médias e pequenas empresas

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Aviso de Privacidade
  • Política de Cookies
  • Política de Segurança de Alto Nível
  • PSI – Fornecedores & Parceiros

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.

Utilizamos cookies e outras tecnologias semelhantes para garantir que você obtenha a melhor experiência em nosso site. Consulte a Política de Cookies. Além disso, ao continuar navegando, você está ciente com o nosso Aviso de Privacidade.