Les Web scanners : renommée ou ceinture dorée ?

• Imprimer

Larry Suto s'est penché sur trois « scanners de vulnérabilités d'applications Web »,, NTOSpider de NTObjective, AppScan d'IBM et WebInspect de HP/SPI Dynamic. A regarder avec attention car, contre toute attente, les résultats sont inversement proportionnels à la renommée des produits. NTOSpider, le presque inconnu, offre un taux de « faux positifs » pratiquement nul et une réelle sensibilité aux failles, tandis que les produits issus des catalogues connus montrent des performances apparemment catastrophiques : AppScan et Webinspect passent respectivement à coté de 88 et 95% des trous de sécurité répertoriés. La méticulosité de l'inspection, la profondeur des analyses sont également deux points sur lesquels NTOSpider marque quelques points. Il est vrai que le paramétrage fin, par une personne d'expérience, tend à limiter les écarts entre ces différents concurrents, mais ces résultats bruts de fonderie paraissent assez édifiants