Testování za pomoci plně automatizovaných nástrojů patří mezi základní metody ověřování bezpečnosti. Tento typ testování je velice rychlý a tím pádem i levný. Během své činnosti automatizovaný nástroj nejprve provede identifikaci použitých technologií za účelem lepšího cílení a snížení počtu testovacích případů. Následně dojde ke zmapování testovaného cíle pro odhalení všech součástí a nalezení všech vstupů. V poslední fázi dochází k realizaci konkrétních testů ve všech vstupech společně s kontrolou reakcí cíle za účelem odhalení případných zranitelností.
Plně automatizovaný nástroj po skončení své práce vrátí seznam nalezených zranitelností. Bohužel ale již často neoznámí, které konkrétní součásti byly otestovány a jaké testy na nich byly provedeny. Pokud automatizovaný nástroj přeci jen podobný seznam poskytuje, jedná se o nepřehledný soupis akcí, který nebude chtít nikdo procházet.
Je důležité si uvědomit, že plně automatizované testovací nástroje nejsou schopny odhalit všechny zranitelnosti a poskytují tak často pouze falešný pocit bezpečí. Následující seznam obsahuje soupis některých typů zranitelností, které automatizované nástroje nejsou schopny odhalit:
- Zranitelnosti, které se projevují na jiných místech, než se nachází testovaný vstup
- Zranitelnosti v obchodní logice
- Zranitelnosti projevující se pouze při konkrétní kombinaci hodnot ve více vstupech
Mezi další nevýhody automatizovaných nástrojů dále patří například množství false positive nálezů.
Pokud potřebujete zajistit vyšší míru bezpečnosti, nespoléhejte se pouze na použití automatizovaných nástrojů. Bezpečnost kontrolujte pomocí manuálně realizovaných penetračních testů, nebo pomocí platformy Penterep propojte automatizované testování s manuálním.