torsdag 25 september 2008

John om pentest vs verktyg


Föredraget utgick från OWASP topp tio och jämförde subjektivt applikationsskanners (svartlådeanalys), källkodsanalys (vitlådeanalys) och pentest (människor som analyserar). Jämförelsen landade i betyg A till F (se bild ovan).

Han gav en massa anekdotiska exempel på vilka fel som hittas och inte hittas. T.ex. svårigheten för verktyg att hitta ett fel som Base64-kodade lösenord.

Typiskt inte hittat:
  • Fel i affärslogiken eller på funktionell nivå
  • Fel hos värdsystem/os (fokus är ju på applikationen)
  • Fel i konfiguration av nätverk (återigen, fokus är ju på applikationen)
Min reflektion/summering: Det är typiskt svårt för verktyg att hitta security by obscurity eller "ovanliga" dumheter. Komplexa säkerhetsfel som är utspridda i koden eller består av många rader kod är svåra både för både verktyg och pentestare.
Upplagd av

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)