Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/2/2010
Værktøjer til at finde sårbarheder i webapplikationer finder kun halvdelen, viser en test. De dårligste programmer finder også flest falske positiver.Det fremgår af rapporten "Analyzing the Accuracy and Time Costs of Web Application Security Scanners" af sikkerhedskonsulent Larry Suto. Han har sammenlignet Accunetix, Appscan fra IBM, BurpSuitePro, Hailstorm fra Cenzic, WebInspect fra HP og NTOSpider fra NT OBJECTives. Desuden omfatter testen også en tilsvarende tjenesteydelse fra firmaet Qualys.
Da han lavede en lignende test i 2007, blev den kritiseret for, at han blot satte værktøjerne til at skyde i blinde på de websteder, de skulle teste. Kritikerne fremhævede, at det sværeste ved sårbarhedsscanning af webapplikationer er at finde de URL'er, der skal testes.
Derfor har han udført den nye test to gange med hvert værktøj: En gang uden forberedelse og en, hvor han fortalte værktøjet, hvilke URL'er det skulle tjekke.
Resultatet er, at selv når værktøjerne fik en liste af URL'er, fandt de kun 51 procent af sårbarhederne.
Larry Suto blev overrasket over, at HP's WebInspect, som har den største markedsandel, var blandt de dårligste. Selv på HP's eget test-websted fandt det kun godt halvdelen af sårbarhederne.
Værktøjet NTOSpider klarede sig bedst: Det fandt 94 procent af alle sårbarhederne, når det fik oplyst URL'erne.
Han konkluderer, at uanset hvilket værktøj man vælger, kan det ikke stå alene, når man skal finde og fjerne sårbarheder på et websted.