Falsos positivos

Como identificar falsos positivos?

1. Configurações incorrectas: Por vezes, os scanners de segurança podem assinalar configurações incorrectas como vulnerabilidades. Verifique manualmente as definições de configuração para confirmar se o problema comunicado é um falso positivo.
2. Código personalizado e lógica comercial: Os scanners automatizados podem não compreender totalmente o código personalizado e a lógica comercial de uma aplicação. Podem ocorrer falsos positivos se o scanner interpretar incorretamente o comportamento pretendido. Os testes manuais e a revisão do código são essenciais para identificar estes problemas.
3. Contorno de validação de entrada: Os scanners testam frequentemente vulnerabilidades genéricas, como a injeção de SQL ou o cross-site scripting, injectando cargas úteis nos campos de entrada do utilizador. No entanto, se a aplicação utilizar mecanismos fortes de validação e saneamento de entradas, podem ser desencadeados falsos positivos. Reveja os resultados do scanner no contexto dos mecanismos de validação de entrada da aplicação.
4. Mecanismos de autenticação: Podem ser comunicados falsos positivos quando o scanner encontra páginas de início de sessão ou mecanismos de autenticação. Ele pode interpretá-los como vulnerabilidades quando, na verdade, eles fazem parte do comportamento normal do aplicativo. Ajuste as definições do verificador para lidar corretamente com a autenticação ou exclua determinados caminhos da verificação.
5. Conteúdo dinâmico: As aplicações Web com conteúdo dinâmico ou interações baseadas em JavaScript podem confundir os scanners, conduzindo a falsos positivos. A inspeção manual do comportamento da aplicação durante o rastreio pode ajudar a identificar se as vulnerabilidades comunicadas são legítimas.
6. Informações desactualizadas: Os scanners de segurança dependem de bases de dados de vulnerabilidades e, se as informações estiverem desactualizadas, podem ocorrer falsos positivos. Certifique-se de que o scanner está a utilizar as assinaturas e bases de dados de vulnerabilidades mais recentes.

Como lidar eficazmente com os falsos positivos

• Verificação manual: Verificar manualmente cada vulnerabilidade comunicada para confirmar a sua validade. Isto envolve a inspeção do código, configuração ou comportamento afetado para determinar se existe um problema de segurança real.
• Personalizar as definições do scanner: Ajustar as definições do scanner para melhor se adequarem às especificidades da aplicação web. Isso pode incluir a configuração da autenticação, a exclusão de determinados caminhos ou o ajuste do scanner para a pilha de tecnologia do aplicativo.
• Actualizações regulares: Mantenha o scanner de vulnerabilidades e as suas assinaturas actualizados para garantir que tem as informações mais recentes sobre as vulnerabilidades conhecidas.
• Colaboração: Promover a colaboração entre os profissionais de segurança e os programadores para compreender melhor a lógica e o comportamento da aplicação. Esta colaboração pode ajudar a interpretar com exatidão os resultados do scan e a distinguir os falsos positivos das vulnerabilidades reais.

Ao combinar o rastreio automatizado com a verificação manual e a colaboração, pode minimizar a ocorrência de falsos positivos e melhorar a precisão geral das suas avaliações de segurança de aplicações Web.

O scanner de vulnerabilidades do Aikido faz uma triagem automática dos falsos positivos. Receba alertas apenas quando for importante. Experimente-o gratuitamente.