Sob a Lupa Corporativa Brasileira: Avaliação da Cobertura de Scanners de Vulnerabilidades em Aplicações Atuais

DOI: https://doi.org/10.5753/sbseg_estendido.2025.12511

Resumo


Neste estudo, apresentamos uma análise comparativa de scanners de vulnerabilidades para aplicações web, atendendo à demanda de três empresas parceiras que buscam avaliar a efetividade de soluções comerciais e gratuitas. Como principais contribuições, podemos destacar: a validação manual de todas as vulnerabilidades identificadas, uma avaliação abrangente de dez scanners (incluindo ferramentas já adotadas pelas empresas) com métricas de cobertura e precisão, e testes em ambientes diversificados como o OWASP Juice Shop e aplicações intensivas em JavaScript. Os resultados demonstram que tanto ferramentas gratuitas quanto comerciais apresentam limitações que devem ser consideradas pelas equipes técnicas, evidenciando a importância de estratégias que combinem múltiplas soluções e auditoria humana para garantir segurança efetiva em ambientes corporativos de produção.

Referências

Albahar, M., Alansari, D., and Jurcut, A. (2022). An empirical comparison of pen-testing tools for detecting web app vulnerabilities. Electronics, 11(19).

Almorsy, M., Grundy, J., and Müller, I. (2020). An analysis of cvss-based vulnerability scores for cloud applications. Journal of Systems and Software, 170:110734.

Althunayyan, M., Saxena, N., Li, S., and Gope, P. (2022). Evaluation of black-box web application security scanners in detecting injection vulnerabilities. Electronics, 11(13):2049.

Altulaihan, E. A., Alismail, A., and Frikha, M. (2023). A survey on web application penetration testing. Electronics, 12(5).

Appiah, V., Asante, M., Nti, I. K., and Nyarko-Boateng, O. (2018). Survey of websites and web application security threats using vulnerability assessment. Journal of Computer Science, 15(10):1341–1354.

Aydos, M., Çiğdem Aldan, Coşkun, E., and Soydan, A. (2022). Security testing of web applications: A systematic mapping of the literature. Journal of King Saud University - Computer and Information Sciences, 34(9):6775–6792.

Güler, E., Schumilo, S., Schloegel, M., Bars, N., Görz, P., Xu, X., Kaygusuz, C., and Holz, T. (2024). Atropos: Effective fuzzing of web applications for {Server-Side} vulnerabilities. In 33rd USENIX Security Symposium (USENIX Security 24), pages 4765–4782.

Holík, F. and Neradova, S. (2017). Vulnerabilities of modern web applications. In 40th MIPRO, pages 1256–1261. IEEE.

Idrissi, S. E., Berbiche, N., Guerouate, F., and Shibi, M. (2017). Performance evaluation of web application security scanners for prevention and protection against vulnerabilities. International Journal of Applied Engineering Research, 12(21):11068–11076.

Janulevicius, A. and Vasilecas, O. (2017). A comparison of vulnerability scoring systems for industrial web applications. Computer Standards & Interfaces, 54:50–57.

Khan, B., Bangash, J. I., Tariq, M., Gul, N., Zahir, S., and Kamal, A. (2023). A comparative model to analyze various web application penetration testing tools for different vulnerabilities. In ICTAPP, pages 1–6.

Kollepalli, R. P. K., Reddy, M. J. S., Sai, B. L., Natarajan, A., Mathi, S., and Ramalingam, V. (2024). An experimental study on detecting and mitigating vulnerabilities in web applications. International Journal of Safety & Security Engineering, 14(2).

Rosa, R., Kreutz, D., Garcia, M., Pereira, S., and Mansilha, R. (2024). Análise empírica e comparativa de ferramentas de varredura de vulnerabilidades em aplicações web usando owasp bwa e juice shop. In Anais da XXI Escola Regional de Redes de Computadores, pages 183–188, Porto Alegre, RS, Brasil. SBC.

Shah, M. P. (2020). Comparative analysis of the automated penetration testing tools. PhD thesis, Dublin, National College of Ireland.

Shahid, J., Hameed, M. K., Javed, I. T., Qureshi, K. N., Ali, M., and Crespi, N. (2022). A comparative study of web application security parameters: Current trends and future directions. Applied Sciences, 12(8).

Shar, L. K. and Tan, H. B. K. (2021). Machine learning for security vulnerability detection: A survey. Journal of Computer Security, 29(3):301–351.

Zangana, H. M. (2024). Exploring the landscape of website vulnerability scanners: A comprehensive review and comparative analysis. Redefining Security With Cyber AI, pages 111–129.
Publicado
01/09/2025
Como Citar

Selecione um Formato
ESCARRONE, Thiago Paim; ROSA, Ricardo Lazzari da; KREUTZ, Diego; MANSILHA, Rodrigo Brandão; ROCHA, Douglas Poerschke. Sob a Lupa Corporativa Brasileira: Avaliação da Cobertura de Scanners de Vulnerabilidades em Aplicações Atuais. In: TRILHA DE INTERAÇÃO COM A INDÚSTRIA E DE INOVAÇÃO - SIMPÓSIO BRASILEIRO DE CIBERSEGURANÇA (SBSEG), 25. , 2025, Foz do Iguaçu/PR. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2025 . p. 463-471. DOI: https://doi.org/10.5753/sbseg_estendido.2025.12511.

Artigos mais lidos do(s) mesmo(s) autor(es)

1 2 3 4 5 6 7 > >>