与手动查找漏洞相比,w3af等工具在查找Web应用程序漏洞方面效果如何?他们是否能够从OWASP前10名中找到所有漏洞,例如反射的xss,持久的xss,sqli,lfi / rfi以及不受限制的文件上传?或者某些漏洞是否会破裂并仍然未被发现?
答案 0 :(得分:0)
您无法通过一种方法(手动或自动)找到所有漏洞,这是暂停问题。自动化方法将始终如一地找到一些,但肯定会缺乏覆盖范围,可能会产生误报警,并且也无法调查潜在的漏洞,并且具有足够的深度来揭示它。根据测试人员的技能和他投入的资源,手动程序可能更好或更差。