[![image][1]][2] Сейчас в мире существует большое количество сканеров информационной безопасности разных компаний (в том числе — [MaxPatrol][3], [XSpider][4] и анализатор кода [Application Inspector][5] производства Positive Technologies). Подобные инструменты различаются ценой, качеством сканирования, типами определяемых уязвимостей, методами их поиска и еще десятками параметров. При создании сканеров важную роль играют [методики тестирования их работы][6], особое место в которых занимает конкурентный анализ подобных продуктов. Как правило, результатом работы любого сканера безопасности является список обнаруженных уязвимостей, полученный в процессе анализа веб-приложения. Тот факт, что в сканерах используются эвристические алгоритмы, приводит к проблеме наличия ложных срабатываний и заполнению списка несуществующими в реальности уязвимостями (false positives). А это, в свою очередь, приводит к необходимости выделить ИБ-эксперта для проверки работы сканера. Для подтверждения наличия уязвимости предлагается использоваться «эталонные» списки уязвимостей, содержащихся в похожих веб-приложениях. Аналитик может использовать такие списки для выявления наиболее вероятных уязвимостей тестируемого продукта и отсеивать очевидные false positives. [Читать дальше →][7]

[1]: http://habrastorage.org/getpro/habr/post_images/377/357/4e8/3773574e8659ea47d17ebbcb9b3b82e0.jpg
[2]: http://habrahabr.ru/company/pt/blog/246197/
[3]: http://ptsecurity.ru/maxpatrol/
[4]: http://ptsecurity.ru/xs7/
[5]: http://ptsecurity.ru/appsecurity/application-inspector/
[6]: http://math-n-algo.blogspot.ru/2013/04/blog-post.html#id_3
[7]: http://habrahabr.ru/post/246197/#habracut