Un nouveau document a été publié par des chercheurs de Université de Californie, Santa Barbara, qui ont analysé les performances de 11 scanners de vulnérabilités web les plus utilisés , cette étude selon les auteurs est :
la plus grande évaluation des scanners d’audit de vulnérabilité Web en terme de nombre d’outils testés et les classes de vulnérabilités analysées
. Les auteurs ont créé leur propre web application de test contenant une grande variété de vulnérabilités et des niveaux différents d’exploration, et ont réalisé une analyse rigoureuse et très détaillée des performances de chaque scanner a l’encontre de cette application.
Les Scanners ont été notés en fonction de leur capacité à identifier les différents types de vulnérabilités dans les différents modes de scan. Les scores globaux, ainsi que les prix de chaque scanner, sont comme suit:
| Scanner | Score | Prix |
| Acunetix | 14 | 4.995 $ – $ 6350 |
| WebInspect | 13 | $ 6,000 – $ 30,000 |
| Burp | 13 | 191 $ |
| N-Stalker | 13 | 899 $ – $ 6299 |
| AppScan | 10 | 17.550 $ – $ 32,500 |
| w3af | 9 | Libre |
| Paros | 6 | Libre |
| Hailstorm | 6 | $ 10,000 |
| NTOSpider | 4 | $ 10,000 |
| Milescan | 4 | 495 $ – $ 1 495 |
| Grendel-Scan | 3 | Libre |
En plus de ces principaux résultats, les auteurs ont également tiré les conclusions suivantes:
- Il ya des classes entières de vulnérabilités qui ne peuvent pas être détectés par les scanners, y compris les mots de passe faibles, les contrôles d’accès et les contrôles logiques.
- L’exploration des applications web modernes seront un sérieux défi pour les scanners de vulnérabilité d’aujourd’hui , due à l’absence de technologies côté client et la nature complexe (css ,ajax,…) des applications d’aujourd’hui.
- Il n’y a pas de corrélation correcte entre le prix et les performances, on peut trouver des scanners gratuits, des scanners avec un très bon rapport coût-efficacité ainsi que des scanners qui coûtent des milliers de dollars avec un faible rendement.
Télécharger le document: «Why Johnny Can’t Pentest: An Analysis of Black-box Web Vulnerability Scanners » .
