对主流扫描工具漏洞检测能力的测试及分析.pdfVIP

Testing and Analysis·测试分析 对主流扫描工具漏洞检测能力的 测试与分析 索亮 【摘要】目前商业市场上的Web应用安全扫描工具，它们的检测漏洞能力尽管在伯仲之间.但它们都有各自的优势和侧重， 对于广大用户而言，在选用 Web 应用安全扫描工具产品上，就要结合系统的需求特征选择不同特性的 Web 应用安全扫描 工具产品，实现对漏洞的检测和对症下药。 【关键词】Web 应用工具 安全扫描； ；检测漏洞 一.综述 （AppScan）；Access （WVS自带）。 面对风起云涌的 Web 应用扫描工具市场，产品的能 测试目标 ： 力也是参差不齐，有些软件可以针对个别网站检测出注入 说明 ：目标网站分别为三款软件所属的公司公布测试 和跨站，并且罗列大量的变种和错误信息，就号称是全面 网站，另一个是我一个朋友的网站，这样应该相对公平。 的应用系统扫描工具。为了展示 Web 应用扫描工具的 真实实力，这次我从商业市场上选择了三款市场占有率最 高的 Web 应用扫描工具： IBM Rational AppScan 、 Acunetix Web Vulnerability Scanner 和 SecDomain 综合网站。 WebRavor。当然，我无法选择所有的应用扫描工具进行 测试方法 ： 测试，如 HP WebInspect，并不是没有测试就说明产品的 三款软件使用默认的设置，在未登录的情况下对 4 能力存在问题，WebInspect 比起其余没有测试的同类产 个站点分别进行检测，对扫描到的弱点进行验证并得出 品，能力还是高出很多。 准确率。 本次测试是三款 Web 应用系统扫描工具的功能和性 漏报率的统计按照 3 款软件都具有的策略进行统计， 能进行测试，为了保证测试的公平性，使用同样的机器配 如 3 款软件都有 SQL 注入策略，对 SQL 注入的漏报率进 置和系统环境，每完成一个软件测试都会对机器进行重 行统计。 启，力图得到一个真实的测试结果。 二.功能比较 测试对象 ： 2.1 功能分析 IBM Rational AppScan Version 31 （以 下 此次测试首先对三款软件的功能进行了比较。从功能 简称 ：AppScan） 上看，三款软件各具特色，我们选出具有代表性的功能进 Acunetix Web Vulnerability Scanner Version 6.5 行分析。 Build（以下简称：WVS） HTTPS SecDomain WebRavor Ultra Edition Version 4.50 三款软件都支持对 SSL 协议的应用系统进行扫描。 Build 2899 （以下简称：WebRavor） 但 WebRavor 支持 SSL 转发功能，可以从本地实现代 测试环境 ： 理，抓获未加密的数据包的内容，对发送包里的参数进行 处理器：2.00GHz ；内存 ：2G；硬盘 ：100G；操作系 检查。 统：Windows 2003 ；支 持 环 境：.net Framework 3.5 多任务 120 2010.08 ・ ・ ・信息安全与技术 测试分析 ·Testing and Analysis AppScan 和 WVS 每个项目只能开启一个任务进行扫 AppScan 提供了手动探索功能，该功能只能在一个 描，同时开启多