вівторок, 11 лютого 2014 р.

Security Tools comparison - results for one app

Робили експериментальний проект для того щоб порівняти результати різних засобів статичного і динамічного аналізу аплікації. Результати просто настільки різні, що зараз постає задача звести все під однин стандарт і зрозуміти хто ж таки найакуратніший і найточніший

Vulnerability Veracode OWASP LARSE +2.8 FindBugs Burp (DAST) AppScan (DAST) AppScan (SAST)
OS Command Injection 2 7 7   -/- -/-
CRLF Injection 20 1 8 -/- -/- -/-
Code Quality 13 -/- -/- -/- -/- 68
XSS 2111 4 -/- 3 3 -/-
Cryptographic Issues 1 -/- 1 -/- -/- -/-
Directory Traversal 14 66 84 1 -/- 1
Encapsulation 2 -/- -/- -/- -/- -/-
Insufficient Input Validation  6 -/- -/- -/- -/- -/-
 (URL Redirection to Untrusted Site)
Use of Externally-Controlled Input to  5 -/- -/- -/- -/- -/-
Select Classes or Code ('Unsafe Reflection')
Time and State(‘ Insecure Temporary File’) 23 -/- -/- -/- -/- -/-
Information Leakage 27 -/- -/- -/- -/- -/-
URL Tampering  -/- 6 -/- -/- -/- -/-
Parameter Tampering  -/- 68 -/- -/- -/- -/-
Header Manipulation  -/- 34 -/- -/- -/- -/-
XML parsing vulnerable to XXE attacks -/- -/- 4 -/- -/- -/-
Maliciuos Dynamic Code  -/- -/- -/- -/- -/- 3
AppDoS  -/- -/- -/- -/- -/- 4
Privilege Escalation  -/- -/- -/- -/- -/- 18
Validation Required  -/- -/- -/- -/- -/- 2
Error Handling, reveal Details, Message  -/- -/- -/- -/- -/- 9
Link Injection  -/- -/- -/- -/- 1 -/-
Phishing Through Frames  -/- -/- -/- -/- 1 -/-
Potential Order Information Found  -/- -/- -/- -/- 5 -/-
Total 2224 186 104 4 10 105

Немає коментарів:

Дописати коментар