<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Laura,</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">I echo Brad's response with one addition. False positive analysis and manual testing should be a part of any service providing vulnerability assessments. If you are just paying for a scan and dump from a service provider or if internal teams are ONLY scanning and then dumping the report into other teams' laps, that's a problem. The Security team or the service provider should work with you to thoroughly go through the scan results and report to eliminate false positives. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">I find that if folks just took the time to run a sqlmap follow up scan configured appropriately for the environment to validate all SQL injection results from a vulnerability scan, it would make this process a lot smoother for this particular kind of vulnerability. With that said though, I know from experience that environments can't always handle an attack tool like sqlmap as a way to validate SQL Injection. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Like Brad indicated, Blind SQL injection vulnerabilities have a horrible track record with Vulnerability scanners. Log correlation with database and application logs are a good way to validate SQL Injection although this can be pretty time consuming. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Michael Born</div><div id="AppleMailSignature">OSCP, CISSP, C|EH</div><div id="AppleMailSignature">Omaha OWASP Chapter Co-Leader</div><div id="AppleMailSignature"><br>Sent from my autocorrect defunct smartphone.</div><div><br>On Nov 8, 2015, at 17:42, Brad Causey <<a href="mailto:bradcausey@gmail.com">bradcausey@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">We use a combination of manual testing and developer/DBA reviews.<div><br></div><div>Of course this is dependent on your relationship with the application developers. </div><div><br></div><div>Things like Blind SQLi are especially bad about being false positives because most scanners use delay injection to determine vulnerability state. This isn't a great method because you also just happen to be hammering the site at the same with other requests that will impact it's performance. </div><div><br></div><div>In this anecdotal case, it's easy to determine if the injection made it into the database because we can request database logs or ask the DBA to check it out. Of course, we are again assuming they are trustworthy and reliable. </div><div><br></div><div>Barring those options, we'll manually reproduce the test using a proxy tool to see if we can replicate the issue. </div><div><br></div><div>All of this can be rather tedious, so we only do it for higher risk issues. </div><div><br></div><div>I hope this helps!</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr">-Brad Causey<br>CISSP, MCSE, C|EH, CIFI, CGSP<br><br>--<br>"Si vis pacem, para bellum"<br>--</div></div></div>
<br><div class="gmail_quote">On Sun, Nov 8, 2015 at 5:37 PM, Laura Guazzelli <span dir="ltr"><<a href="mailto:laura.guazzelli@owasp.org" target="_blank">laura.guazzelli@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hello,<br>
I am very curious about either the methodology and/or recommendations from leaders on how to separate false positives from real positives from vulnerability scans. <br>
Thanks,<br>
Laura Guazzelli</p>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>