对 于 大 型 的 网 站，可 以 自 动 过 滤掉大量重复、类似的页面，节 约扫描时间。
独有方式。
YES
可以绕过某些关键字检测系统
YES
支持从 Javascript 中提取 URL。
M S S Q L / A C C E S S / M Y S Q L / 能自动识别应用系统后台的数
O R A C L E / D B 2 / I N F O R M I X / 据库，并且自动读出数据库名
【关键词】Web 应用工具 ；安全扫描 ；检测漏洞
一 . 综述
（AppScan）；Access（WVS 自带）。
面对风起云涌的 Web 应用扫描工具市场，产品的能 测试目标 ：
力也是参差不齐，有些软件可以针对个别网站检测出注入
说明 ：目标网站分别为三款软件所属的公司公布测试
和跨站，并且罗列大量的变种和错误信息，就号称是全面 网站，另一个是我一个朋友的网站，这样应该相对公平。
NO
NO
YES
对网站的整个域进行扫描。
自动扫描
单一域名 /IP 单一域名 /IP
单一域名 / 多域名 /IP
半自动扫描 YES
NO
YES
半 自 动 扫 描 常 用 于 ERP 用 户
交 互 性 比 较 高 的 系 统，用 户 按
照 正 常 的 工 作 模 式 进 行 操 作，
WebRavor 可自动检测出弱点。
SYBASE/PostgreSQL/Ingres/ 称和用户名称，以用于证实弱
FireBird
点的存在，防止抵赖。
MSSQL/ACCESS/MYSQL/
ORACLE/DB2/INFORMIX/
SYBASE/PostgreSQL/Ingres/
FireBird
M S S Q L / A C C E S S / M Y S Q L / 可以获取整个用户表结构和里
的应用系统扫描工具。为了展示 Web 应用扫描工具的

真实实力，这次我从商业市场上选择了三款市场占有率最

高 的 Web 应 用 扫 描 工 具 ： IBM Rational AppScan 、

Acunetix Web Vulnerability Scanner 和 SecDomain
启，力图得到一个真实的测试结果。
二 . 功能比较
测试对象 ：
2.1 功能分析
IBM Rational AppScan Version 7.8.0.831 （以 下
此次测试首先对三款软件的功能进行了比较。从功能
简称 ：AppScan）
上看，三款软件各具特色，我们选出具有代表性的功能进
Acunetix Web Vulnerability Scanner Version 6.5 行分析。
支持。
3.2 结果统计
三款产品都具备了应用系统评估工具的基本功能 ：
统计的基础规则 ：
爬行和检测。WVS 过于依赖自己的爬行和检测的能力，
WVS 的统计包括了所有的变种，我在统计的过程中去
不允许按 web 应用系统操作流程的方式进行手动测试， 除变种的数字，按照出现漏洞的参数进行统计，这样我认
不允许策略扩展，这对于千变万化的应用系统是致命的 为是比较科学的 WEB 应用弱点统计的方法。
品，能力还是高出很多。
准确率。
本次测试是三款 Web 应用系统扫描工具的功能和性
漏报率的统计按照 3 款软件都具有的策略进行统计，
能进行测试，为了保证测试的公平性，使用同样的机器配 如 3 款软件都有 SQL 注入策略，对 SQL 注入的漏报率进
置和系统环境，每完成一个软件测试都会对机器进行重 行统计。
于复杂的 XSS 和其它安全项目
检测。
信息安全与技术・2010.08・121・
Testing and Analysis·测试分析
C/S 结 构 的 应 NO
NO
用的漏洞检测
断点续扫
YES
YES
异常中断恢复 NO
NO
扫描
多策略可选 YES
YES
F O R M 检 测 YES
YES
(Injection)
问记录的方式对记录的页面进行检测。
NO
式检测
支持字符变形 NO
NO
Javascript页面 YES
YES
爬行
数据库类型识 NO
NO
别
特定数据库漏 N/A
N/A
洞挖掘
数据库结构和 NO
NO
内容获取
定位注入参数 YES
YES
XSS
YES
YES
目录访问
YES
YES
・122・2010.08・信息安全与技术
YES
可 以 提 供 任 何 基 于 http 或 者
https 协议的扫描，不管是 B/S
结构还是 C/S 结构等。
YES
可以从中断位置继续上一次扫
描进程。
YES
由于软件本身或者外部原因造
成 的 软 件 崩 溃，可 以 自 动 重 启
并恢复到意外发生前的扫描状
态。
YES
针对同一个内容的扫描可提供
多种策略选择。
YES
自动分析网页中的表单。
YES YES 多个服务器轮询 YES
可以使用图形化工具自行设计 报告版式。 设置产品自身占用的系统资 源。 根据操作系统自动选择语言。
2.2 功能总结
3.1 测试时间
在对应用系统类型的支持上，三款产品都支持 HTTP
和 HTTPS 协议的应用系统，但是对于复杂的 ERP 系统，
APPSCAN 和 WVS 不 能 够 支 持，只 有 WebRavor 能 够
YES
YES 可以扩展功能 YES 自动 / 手工 ( 任何时候）
YES YES YES
检测登录表单中存在的弱密 码。
使用代理服务器对目标进行扫 描。 对 扫 描 任 务 的 线 程 进 行 控 制， 控制扫描对服务器产生的影 响。 提供应用后台数据库的配置信 息，某 些 数 据 库 可 以 获 得 数 据 库 用 户 和 密 码，并 且 对 密 码 进 行强度检测。 可 以 进 行 渗 透 性 测 试，测 试 方 法可自行设计。 任 何 功 能 都 可 以 自 行 扩 展，无 需改动原代码，无需编程知识。
报告模板定义 YES
YES
YES
系统资源调控 NO
NO
YES
支持语言
英 文 / 简 体 中 英文 文
英文 / 简体中文
可以自动扩展敏感目录的类型 可以自行设定新的网页木马特 征标志。 例如 ：网银、在线电子商务等
任何数据都可以通过 CSV 格式 导 出，以 方 便 产 生 EXCEL 表 格 （中文、英文）。
Build 20100210（以下简称 ：WVS）
HTTPS
SecDomain WebRavor Ultra Edition Version 4.50
三ห้องสมุดไป่ตู้软件都支持对 SSL 协议的应用系统进行扫描。
Build 2899（以下简称 ：WebRavor）
但 WebRavor 支 持 SSL 转 发 功 能，可 以 从 本 地 实 现 代
Testing and Analysis·测试分析
对主流扫描工具漏洞检测能力的 测试与分析
索亮
【摘要】目前商业市场上的 Web 应用安全扫描工具，它们的检测漏洞能力尽管在伯仲之间 . 但它们都有各自的优势和侧重， 对于广大用户而言，在选用 Web 应用安全扫描工具产品上，就要结合系统的需求特征选择不同特性的 Web 应用安全扫描 工具产品，实现对漏洞的检测和对症下药。
被动扫描
YES
NO
YES
对访问的网页，WebRavor 可以
自动进行扫描
混合扫描
NO
NO
YES
主 动 对 网 站 检 测 的 同 时，对 访
问页面进行被动扫描。
交互性测试 YES
YES
YES
提 供 交 互 式 测 试 平 台，测 试 结
果 直 接，例 如 修 改 后 的 结 果 直
接 在 浏 览 器 中 得 到 显 示，常 用
NO
NO
NO
本地主机对 SSL 进行转发。
多任务 ( 同时 NO
NO
YES
任何时候都可以开始新的任
扫描不同应
务，不 必 等 待，并 且 提 供“任 务
用)
管理器”，可任意进行调度和管
理。
使用计划任务 不能批量扫描 YES
YES
支 持 定 时 扫 描，及 批 量 导 入 域
及批量扫描
名进行扫描。
全域扫描
公司
IBM
Acunetix
北京安域领创科技有限公司 全内资公司，100% 版权和源代
(China)
码。
平台
Windows 2000 Windows 2000 及以上 Windows 2000 及以上
及 以 上 + .NET
Framework
开发语言
.NET
未知
MFC
无需 .NET 和任何数据库支持，
FORM 弱 口 令 YES
YES
检测
URL 重定向 YES
YES
代理服务器 单一服务器
NO
线程控制
NO
NO
数据库基线审 NO
NO
计
渗透测试框架 NO
NO
策略扩展性 YES
NO
CGI Scan
YES
YES
重复页面过滤 扫描开始前手工 NO
检测所有参数 YES
YES
SQL 注入