Comparatif des scanneurs de vulnerabilités Web Juillet 2010

Un nouveau document a été publié par des chercheurs de Université de Californie, Santa Barbara, qui ont analysé les performances de 11 scanners de vulnérabilités web les plus utilisés , cette étude selon les auteurs est :

la plus grande évaluation des scanners d’audit de vulnérabilité Web en terme de nombre d’outils testés et les classes de vulnérabilités analysées

. Les auteurs ont créé leur propre web application de test contenant une grande variété de vulnérabilités et des niveaux différents d’exploration, et ont réalisé une analyse rigoureuse et très détaillée des performances de chaque scanner a l’encontre de cette application.

 

BlackBoxScanner2010

BlackBoxScanner2010

Les Scanners ont été notés en fonction de leur capacité à identifier les différents types de vulnérabilités dans les différents modes de scan. Les scores globaux, ainsi que les prix de chaque scanner, sont comme suit:

Scanner Score Prix
Acunetix 14 4.995 $ – $ 6350
WebInspect 13 $ 6,000 – $ 30,000
Burp 13 191 $
N-Stalker 13 899 $ – $ 6299
AppScan 10 17.550 $ – $ 32,500
w3af 9 Libre
Paros 6 Libre
Hailstorm 6 $ 10,000
NTOSpider 4 $ 10,000
Milescan 4 495 $ – $ 1 495
Grendel-Scan 3 Libre

En plus de ces principaux résultats, les auteurs ont également tiré les conclusions suivantes:

  • Il ya des classes entières de vulnérabilités qui ne peuvent pas être détectés par les scanners, y compris les mots de passe faibles, les contrôles d’accès et les contrôles logiques.
  • L’exploration des applications web modernes seront un sérieux défi pour les scanners de vulnérabilité d’aujourd’hui , due à l’absence de technologies côté client et la nature complexe (css ,ajax,…) des applications d’aujourd’hui.
  • Il n’y a pas de corrélation correcte entre le prix et les performances, on peut trouver des scanners gratuits, des scanners avec un très bon rapport coût-efficacité ainsi que des scanners qui coûtent des milliers de dollars avec un faible rendement.

Télécharger le document: «Why Johnny Can’t Pentest: An Analysis of Black-box Web Vulnerability Scanners  » .

Tagged : , , , , , , , , , , , , , ,

Laisser un Commentaire