学会python做网站,自己怎么设计装修房子,google ads 推广,中航长江建设工程有限公司网站AppScan和AWVS业界知名的Web漏洞扫描工具#xff0c;你是否也好奇到底哪一个能力更胜一筹呢#xff1f;接下来跟随博主一探究竟吧。 1. 方案概览
第一步#xff1a;安装一个用于评测的Web漏洞靶场#xff08;本文采用最知名和最广泛使用的靶场#xff0c;即OWASP Benchma… AppScan和AWVS业界知名的Web漏洞扫描工具你是否也好奇到底哪一个能力更胜一筹呢接下来跟随博主一探究竟吧。 1. 方案概览
第一步安装一个用于评测的Web漏洞靶场本文采用最知名和最广泛使用的靶场即OWASP Benchmark第二步分别使用两款工具对靶场进行漏洞扫描扫描参数尽量保持一致第三步从多维度对比分析扫描过程和扫描结果
两者的扫描报告概览如下 2. 具体实施
2.1. 环境信息
本次测评所用的基础环境和工具版本信息如下
操作系统 Windows 10OWASP benchmark V1.2AppScan 10.0.8AWVS 15.0.221007170
若对以下评测过程感兴趣可以动手实操所需要的基础环境和工具安装配置指导可以参阅博主前期文章
OWASP Benchmark | OWASP 基准项目镜像方式安装、配置及如何生成SAST和DAST工具的评分报告安全工具 | AWVS漏洞扫描工具安装、使用技巧及注意事项附工具下载链接安全工具 | AppScan漏洞扫描工具标准版免费安装、配置及使用指导附工具下载链接
2.2. 测试步骤
2.2.1. 启动靶场项目OWASP Benchmark
启动OWASP Benchmark项目项目启动成功后可以通过URL访问靶场本例中启动靶场地址为https://local:8443/benchmark/
2.2.2. AWVS扫描
1、在AWVS上创建扫描任务参数配置如下
扫描策略Full Scan即全量扫描扫描速度Fast即AWVS的最快速度扫描其他参数默认
2、按以上配置执行扫描扫描完成后可以界面上看到扫描结果。
3、进入报告详情界面查看并下载报告 2.2.3. AppScan扫描
1、打开AppScan客户端创建扫描任务参数配置如下
扫描策略Full Scan即全量扫描扫描速度Fast即快速度扫描其他参数默认 2、启动AppScan扫描任务可以看到CPU直接爆满 整个扫描过程比较漫长需要耐心等待
3、扫描完成后查看并下载报告
2.3. 报告对比分析
完成以上两款工具对同一靶场的扫描后我们可以得到如下扫描报告
AppScan OWASP benchmark扫描报告.pdf (访问密码: 6277)AWVS OWASP benchmark扫描报告.pdf (访问密码: 6277)
接下来我们按以下维度进行对比:
对比项AWVSAppScan备注扫描耗时140min533minAppScan耗时久主要有两个原因1、AppScan扫描规则极多2、以上扫描参数配置的扫描速度并非是AppScan的最快速度扫描请求个数20万个100万个从AppScan发送的请求数超百万个也可以简单说明AppScan规则数量极多发现问题数210个其中有202个是高危漏洞9000个其中972个高危漏洞两者发现的问题根本不在一个量级
由于扫描报告涉及到的漏洞较多高达上千个博主暂时未来得及将扫描的问题进行分类比较接下来有时间会将两者的扫描报告与OWASP Benchmark 的基准漏洞做次对比用于评测两款工具针对漏洞的误报率和漏报率。
2.4. 总结
AppScan有业界最强悍的规则库AppScan的规则库内置了超过1.2万个测试用例测试用例最全所以AppScan扫描的问题更多扫描时长也较久AWVS扫描SQL 注入和跨站脚本的能力较专误报相对较低扫描时长较短。建议企业在日常测试流程中使用AWVS在针对重点或高风险版本使用AppScan进行查漏补缺。
