Security Professionals - ipfw add deny all from eindgebruikers to any

Webinspect False Positives ontdekken?

10-12-2008, 15:56 door Franko, 5 reacties
Hallo allemaal,

Ik ben voor mijn stage bezig met het testen van een testwebsite via Webinspect van HP ( formely SpyDynamics). Dit is gewoon te leering.

Ik heb dus de opdracht gekregen om de website volgens de policy van de Owasp top 10 te testen en als inlogmacro admin admin te gebruiken. Nu is dit allemaal prima gelukt en heb dan ook de resultaten van de test eruit gekregen.

de volgende opdracht was om de false positives eruit te halen. Maar ik begrijp niet helemaal wat daar nou mee bedoeld word.

is een false positive bijvoorbeeld dat als hij aangeeft dat er nog oude backup files op de server staan maar dat deze bij controle leeg blijken te zijn? dus dat ze er wel staan maar dat een eventuele aanvaller er niks mee kan?

Of is het zo dat als er een malicious HTTP request word gedaan door webinspect en hij een HTTP 200 OK terugkrijgt hij dit flagt als vulnerability maar dat dit bij nader onderzoek er helemaal niet in blijkt te zitten?

Ik hoop dat jullie me hiermee kunnen helpen.
Reacties (5)
10-12-2008, 16:39 door SirDice
Een false positive is een melding over iets wat niet waar blijkt te zijn. Om even een recent voorbeeld aan te geven, AVG vond in shell32.dll een trojan. Er zat echter geen trojan in shell32.dll. Dat is dus een false positive.

Of is het zo dat als er een malicious HTTP request word gedaan door webinspect en hij een HTTP 200 OK terugkrijgt hij dit flagt als vulnerability maar dat dit bij nader onderzoek er helemaal niet in blijkt te zitten?
Exact. De test is positief maar bij nader onderzoek blijkt er niets aan de hand te zijn. Een false positive.

De andere kant kan ook, een false negative. De test is negatief maar er blijkt wel degelijk iets aan de hand te zijn.

Persoonlijk heb ik liever 10 false positives dan 1 false negative.
10-12-2008, 17:39 door Anoniem
Ok, bedankt voor de reactie.

Ik heb nu een wat ik denk dat een false positive is betreffende XSS.

hij geeft aan dat hij een HTTP 200 ok terugkrijgt en flagt hem als een kwetsbaarheid. terwijl als ik in de HTTP response kijk hij bepaalde tekens eruit filtert waardoor de aanval in de praktijk mislukt.

dit kan ik dus aanmerken als false positive?

( even om te kijken of ik hem nu helemaal snap )
11-12-2008, 07:27 door pikah
Correct...
11-12-2008, 10:04 door Anoniem
Vooral bij vbscript kun je false positives krijgen m.b.t. cross site scripting door terugmelding van de initiele ingave. Je probeert met de tests vooral message boxen te laten verschijnen, en die verschijnen niet altijd.
11-12-2008, 13:07 door Anoniem
ok, het is duidelijk zo!

bedankt!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search