<div dir="ltr">We use a combination of manual testing and developer/DBA reviews.<div><br></div><div>Of course this is dependent on your relationship with the application developers. </div><div><br></div><div>Things like Blind SQLi are especially bad about being false positives because most scanners use delay injection to determine vulnerability state. This isn't a great method because you also just happen to be hammering the site at the same with other requests that will impact it's performance. </div><div><br></div><div>In this anecdotal case, it's easy to determine if the injection made it into the database because we can request database logs or ask the DBA to check it out. Of course, we are again assuming they are trustworthy and reliable. </div><div><br></div><div>Barring those options, we'll manually reproduce the test using a proxy tool to see if we can replicate the issue. </div><div><br></div><div>All of this can be rather tedious, so we only do it for higher risk issues. </div><div><br></div><div>I hope this helps!</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr">-Brad Causey<br>CISSP, MCSE, C|EH, CIFI, CGSP<br><br>--<br>"Si vis pacem, para bellum"<br>--</div></div></div>
<br><div class="gmail_quote">On Sun, Nov 8, 2015 at 5:37 PM, Laura Guazzelli <span dir="ltr"><<a href="mailto:laura.guazzelli@owasp.org" target="_blank">laura.guazzelli@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hello,<br>
I am very curious about either the methodology and/or recommendations from leaders on how to separate false positives from real positives from vulnerability scans. <br>
Thanks,<br>
Laura Guazzelli</p>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>