问渗透试验与假阳性结果的关系

EN

你问了很多不同的问题。

我想说的是，作为一个整体，一个自动化的工具，产生100%准确的结果是不可能的。否则，世界上所有的渗透测试人员都将失去工作。

举一个例子，RedHat在长期支持下将安全补丁移植到较旧版本的软件中。自动化工具可能检测到服务器正在运行具有权限提升的特定内核版本，利用该漏洞并报告该版本。但是，由于RedHat的安全修补程序，这个特定的权限提升漏洞是固定的，不再可利用。然而，渗透测试人员会使用自动化工具的报告作为利用过程的起点，并发现漏洞实际上是固定的。这样可以消除自动化工具产生的大量错误。

当然，剔除假阳性确实会在渗透测试中花费相当多的时间。不过，我不认为这是个坏处。这只是整个渗透测试过程的一部分。它可能不会导致渗透测试过程中的任何延迟，也不会影响它的质量，因为一个优秀的渗透测试人员应该在测试开始时已经考虑到这些因素。

一个好的渗透测试人员使用他可以使用的工具来提高他的工作效率。自动化工具不能取代适当的技能、知识和经验。

在他们能够覆盖的区域，扫描仪可能比他们所产生的假阳性更有限。

在测试过程中出现假阳性可能会很烦人而且费时，但在很大程度上，经验丰富的测试人员可以很容易地进行补偿，因为您对可能出现的错误(例如@Terry提供的支持安全修复的示例)更加熟悉，从而减少了问题的发生。

在自动扫描器方面，作者要在假阳性率和假阴性率之间作出调整平衡。当扫描仪看到一些“可能”是问题但不能被确定的东西时，他们可以标记它(更高的假阳性率)，忽略它(更高的假阴性率)，或者做我认为很多扫描仪所做的事情(尤其是web应用程序扫描仪)，并对这个发现给予一定程度的信心。

这再次被输入到手动过程中，因为测试人员可以将高度自信的结果看作不需要太多的后续跟踪，并将注意力集中在可能影响很大但扫描仪不确定的发现上(最好使用手动的方法)。