Робили експериментальний проект для того щоб порівняти результати різних засобів статичного і динамічного аналізу аплікації. Результати просто настільки різні, що зараз постає задача звести все під однин стандарт і зрозуміти хто ж таки найакуратніший і найточніший
| Vulnerability |
Veracode |
OWASP LARSE +2.8 |
FindBugs |
Burp (DAST) |
AppScan (DAST) |
AppScan (SAST) |
| OS Command Injection |
2 |
7 |
7 |
|
-/- |
-/- |
| CRLF Injection |
20 |
1 |
8 |
-/- |
-/- |
-/- |
| Code Quality |
13 |
-/- |
-/- |
-/- |
-/- |
68 |
| XSS |
2111 |
4 |
-/- |
3 |
3 |
-/- |
| Cryptographic Issues |
1 |
-/- |
1 |
-/- |
-/- |
-/- |
| Directory Traversal |
14 |
66 |
84 |
1 |
-/- |
1 |
| Encapsulation |
2 |
-/- |
-/- |
-/- |
-/- |
-/- |
| Insufficient
Input Validation |
6 |
-/- |
-/- |
-/- |
-/- |
-/- |
| (URL
Redirection to Untrusted Site) |
| Use of
Externally-Controlled Input to |
5 |
-/- |
-/- |
-/- |
-/- |
-/- |
| Select
Classes or Code ('Unsafe Reflection') |
| Time and
State(‘ Insecure Temporary File’) |
23 |
-/- |
-/- |
-/- |
-/- |
-/- |
| Information Leakage |
27 |
-/- |
-/- |
-/- |
-/- |
-/- |
| URL Tampering |
-/- |
6 |
-/- |
-/- |
-/- |
-/- |
| Parameter Tampering |
-/- |
68 |
-/- |
-/- |
-/- |
-/- |
| Header Manipulation |
-/- |
34 |
-/- |
-/- |
-/- |
-/- |
| XML parsing vulnerable to XXE attacks |
-/- |
-/- |
4 |
-/- |
-/- |
-/- |
| Maliciuos Dynamic Code |
-/- |
-/- |
-/- |
-/- |
-/- |
3 |
| AppDoS |
-/- |
-/- |
-/- |
-/- |
-/- |
4 |
| Privilege Escalation |
-/- |
-/- |
-/- |
-/- |
-/- |
18 |
| Validation Required |
-/- |
-/- |
-/- |
-/- |
-/- |
2 |
| Error Handling, reveal Details, Message |
-/- |
-/- |
-/- |
-/- |
-/- |
9 |
| Link Injection |
-/- |
-/- |
-/- |
-/- |
1 |
-/- |
| Phishing Through Frames |
-/- |
-/- |
-/- |
-/- |
1 |
-/- |
| Potential Order Information Found |
-/- |
-/- |
-/- |
-/- |
5 |
-/- |
| Total |
2224 |
186 |
104 |
4 |
10 |
105 |
Немає коментарів:
Дописати коментар