Hier haben Sie mehrere Annahmen:

• Scanner können alle Sicherheitslücken finden
• Wenn ein Scanner keine Sicherheitslücke finden kann, gibt es keine Sicherheitslücken
• Alle manuellen Aufgaben können automatisiert werden.
• Angreifer verwenden nur automatisierte Tools und keine manuellen Ansätze.
• Manuelle Ansätze können nicht in maßgeschneiderte automatisierte Tools umgewandelt werden Entspricht der Ausnutzung der Sicherheitsanfälligkeiten

Keine dieser Annahmen ist allgemein gültig.

Automatisierte Scanner helfen dabei, Schwachstellen effizienter zu finden, sind jedoch bei weitem nicht perfekt und bei weitem nicht vollständig. Scanner sind auch nicht dafür ausgelegt, die Sicherheitslücken auf nützliche Weise auszunutzen.

In der Praxis möchten Sie die Ergebnisse eines Scanners manuell testen (Fehlalarme) und manuelle Tests durchführen, um nach Dingen zu suchen, die das automatisierte Tool möglicherweise übersehen hat.

Angreifer verwenden eine Mischung aus Ansätzen und erstellen oder ändern dann häufig ein Tool, um die Sicherheitsanfälligkeit so auszunutzen, dass sie wiederholbar und zuverlässig ist. Dies bedeutet jedoch nicht, dass das Tool in anderen Situationen funktioniert.

Automatisierte Tests sind die Grundschwelle. Wenn Ihre Site / Ihr Programm einen automatisierten Test nicht besteht, haben Sie einen ziemlich knochenköpfigen Fehler gemacht, der sofort behoben werden sollte (da er leicht zu finden ist). Ich habe jedoch einige Fälle gesehen, in denen ein Entwickler in seinem SQL eine Überprüfung auf 1 = 1 hinzugefügt hat, um sich vor automatischen Scannern zu verstecken, aber ich konnte die Site mit 2 = ausnutzen 2 (moderne SQL-Scanner berücksichtigen dies jetzt). Das wusste ich nur aus manuellen Tests und persönlichen Erfahrungen. Sie können Erfahrung und Intuition nicht in einem Werkzeug kodieren.

Codierung ist eine wahnsinnig komplexe Aktivität. Das bedeutet, dass die Fehler auch komplex sein können. Es konnte kein Tool erstellt werden, um alle Schwachstellen zu suchen oder auszunutzen.

DAST -Tools weisen mehrere Einschränkungen auf, die durch manuelle Überprüfung der Anwendung behoben werden müssen:

• Sie können keine Fehler in der Geschäftslogik finden, da sie die nicht verstehen Anwendungsfälle und Missbrauchsfälle der Anwendung.
• Sie finden nur bekannte Schwachstellentypen und -muster. Ihr Kilometerstand hängt vom Reifegrad des Scanners ab, aber selbst die besten Scanner finden nicht alle Probleme.
• Komplexe Muster weisen häufig subtile Sicherheitsprobleme auf, z. B. eine benutzerdefinierte Implementierung eines Autorisierungsprotokolls wie OAuth. Nur wenn die zugrunde liegende Architektur im Detail untersucht wird, kann ein Pentester diese Fehler finden, während ein automatisiertes Tool fehlschlägt, da diese Art der Analyse Argumente höherer Ordnung erfordert.
• Nutzdaten zur Überprüfung der Ausnutzbarkeit einer Anwendung sind häufig vorhanden für die spezifische Anwendung hergestellt werden. Selbst wenn der Scanner eine Sicherheitsanfälligkeit vermutet, muss die Überprüfung häufig manuell erfolgen.

Ein Sicherheitsscanner ist jedoch ein praktisches Werkzeug im Arsenal eines Penetrationstesters, um einen niedrigen Wert zu ermitteln hängende Früchte. Der Großteil der Arbeit wird weiterhin manuell ausgeführt.

Außerdem sollten Sie als Sicherheitstester nach Möglichkeit immer Whitebox-Tests durchführen. Dazu gehört der Zugriff auf den Quellcode, sodass Sie auch SAST -Tools verwenden können. Diese Tools weisen ähnliche Einschränkungen auf, können jedoch möglicherweise verschiedene Arten von Sicherheitslücken finden und dadurch einen Mehrwert schaffen. Aber selbst mit kombinierten DAST- und SAST-Tools erreichen Sie ohne manuelle Tests nicht die erforderliche Testtiefe, insbesondere für Anwendungen mit einem hohen Schutzprofil.

Hier ist ein sehr aktuelles Thema, das sich mit demselben Thema befasst: Warum findet OpenVAS im Vergleich zu Nmap nicht alle offenen Ports?. Imbiss: Jedes Werkzeug ist anders und kann zu unterschiedlichen Ergebnissen führen. Ganz zu schweigen von Fehlalarmen und unterschiedlichen Testmethoden.

Einfach ausgedrückt, machen automatisierte Tools fundierte Vermutungen und interpretieren Ergebnisse. Meistens machen sie es richtig. Aber Sie müssen verstehen, wie das Tool funktioniert, was es tut (und nicht ) und in der Lage sein, es zu optimieren , um optimale Ergebnisse zu erzielen .

Ein einfaches Beispiel: Standardmäßig scannen nmap, Openvas usw. nicht alle TCP / UDP-Ports, sondern eine Auswahl der beliebtesten Ports, dh einige Tausend von 65535. Wenn Sie sich nicht bewusst sind und Wenn Sie die Tools mit den Standardeinstellungen ausführen, können Sie sehr leicht aktive Ports übersehen. Beispielsweise entscheiden sich viele Systemadministratoren dafür, SSH auf einem zufälligen Port anstatt auf dem Standard-22 auszuführen.

Die automatisierten Tools verfügen normalerweise über zahlreiche Optionen und nicht nur über eine Schaltfläche. Sie müssen also verstehen, was sie tun oder tun Sie schießen im Dunkeln. Dann ist Ihre Prüfung nicht eingehend und von geringem Wert, da Sie nicht wissen, was Sie tun und wonach Sie suchen sollten. Alles, was Sie getan haben, ist, die Oberfläche zu kratzen und nach den offensichtlichsten Fehlern zu suchen.

Anders ausgedrückt, warum sollten wir professionelle Pentester einstellen, wenn nur ein Tool heruntergeladen und ausgeführt werden muss? Weil ein kompetenter Pentester Erfahrung hat und weiter geht und Schwachstellen finden kann, als ein Skriptkind übersehen wird.

Es ist selten "so einfach wie das Ausführen eines Tools". P. >

Auf einem ordnungsgemäß konfigurierten Computer, der im Internet verfügbar ist, sollte ein Verteidigungsmechanismus integriert sein: eine Firewall und / oder ein IDS, die diese Art von Aufklärungsbemühungen verhindern.

Wenn sie Port-Scan-Aktivitäten erkennen, blockieren sie normalerweise Ihre IP-Adresse oder drosseln den Datenverkehr, verwerfen einige Pakete selektiv oder geben absichtlich irreführende Ergebnisse zurück, um Hacker zu frustrieren. Sie erhalten unvollständige oder geradezu falsche Ergebnisse.

Beachten Sie, dass Tools wie nmap, Acunetix usw. verrauscht sind und normalerweise von einem IDS sehr leicht erkannt (und blockiert) werden können, weil Der von ihnen erzeugte Datenverkehr weist typische Signaturen und Muster auf. Wenn Sie also keine Maschine testen, die ungeschützt oder lose geschützt ist (möglicherweise in einem LAN), müssen Sie sie ziemlich optimieren, um aussagekräftige Ergebnisse zu erzielen.

Die Antwort lautet also, dass Sie beides tun : Sie verwenden automatisierte Tools und führen dann manuelle Tests durch, insbesondere wenn das Tool etwas entdeckt hat, z. B. einen offenen Port, diesen jedoch nicht ausnutzen konnte, oder wenn Sie dies überprüfen möchten.

Schwachstellenscanner können nicht jede vorhandene Schwachstelle finden. Sie suchen im Wesentlichen nach Mustern und Ausnutzbarkeit bereits bekannter Schwachstellen.

Außerdem können bei Verwendung automatisierter Tools falsch positive Ergebnisse oder andere unerwartete Ausgaben auftreten. Sie benötigen also Fachleute, die die Ausgabe bewerten und fortgeschrittenere Pentests durchführen können.

Hier sind einige häufig auftretende schwierige Herausforderungen (insbesondere bei den Aufklärungs- und Schwenkaktivitäten) für automatische Scanner für die Anwendungssicherheit, die sie normalerweise nicht erkennen oder die möglicherweise falsch positiv erkannt werden:

• Versteckter Parameter Erkennung für weiteres Scannen
• Versteckte oder relativ referenzierte URL-Erkennung für weiteres Scannen
• Auswirkungen auf die Sicherheit von Unternehmen und Logik, um eine Sicherheitsanfälligkeit aufgrund potenzieller falsch positiver Erkennungen zu identifizieren. Die Bedrohung durch CSRF-Angriffe gehört zu dieser Art von Herausforderung. Scanner haben auch Probleme mit den Sicherheitsanfälligkeiten, die nur angezeigt werden, wenn ein bestimmter Wert eines Parameters festgelegt ist.