0

与手动查找漏洞相比,w3af 等工具在查找 Web 应用程序漏洞方面的效果如何?他们是否能够从 OWASP 前 10 名中找到所有漏洞,例如反射 xss、持久 xss、sqli、lfi/rfi 和无限制的文件上传?还是会有一些漏洞从裂缝中消失而未被发现?

4

1 回答 1

0

您不可能通过一种方法(手动或自动)找到所有漏洞,这是停机问题。自动化方法会始终如一地找到一些,但肯定会缺乏覆盖范围,可能会产生误报警报,并且也无法调查具有足够深度的潜在漏洞以发现它。手动程序可能更好或更糟,这取决于测试人员的技能和他投入了多少资源。

于 2015-12-04T15:13:26.623 回答