Key points are not available for this paper at this time.
Black-Box-Webanwendungssicherheitscanner sind automatisierte Werkzeuge, die Webanwendungen auf Sicherheitsanfälligkeiten testen. Um den aktuellen Stand der Technik zu bewerten, erhielten wir Zugang zu acht führenden Werkzeugen und führten eine Studie durch über: (i) die Art der Anfälligkeiten, die von diesen Scannern getestet werden, (ii) deren Effektivität gegen Zielanfälligkeiten und (iii) die Relevanz der Zielanfälligkeiten für in der freien Wildbahn gefundene Anfälligkeiten. Für unsere Studie verwendeten wir eine benutzerdefinierte Webanwendung, die anfällig für bekannte und prognostizierte Anfälligkeiten war, sowie frühere Versionen weit verbreiteter Webanwendungen mit bekannten Sicherheitsanfälligkeiten. Unsere Ergebnisse zeigen das Potenzial und die Effektivität automatisierter Werkzeuge als Gruppe, zeigen aber auch einige Einschränkungen. Insbesondere werden "gespeicherte" Formen von Cross Site Scripting (XSS) und SQL-Injection (SQLI) Anfälligkeiten derzeit von vielen Werkzeugen nicht gefunden. Da unser Ziel darin besteht, das Potenzial zukünftiger Forschung zu bewerten und nicht spezifische Anbieter auszuwerten, berichten wir nicht über vergleichende Daten und geben keine Empfehlungen zum Kauf bestimmter Werkzeuge ab.
Bau et al. (Freitag) haben diese Frage untersucht.
Synapse has enriched 5 closely related papers on similar clinical questions. Consider them for comparative context: