WEB扫描类产品测试--AppScan-WVS-WebRavor(1)

一.  综述

    面对风起云涌的Web应用扫描工具市场，产品的能力也是参差不齐，有些软件可以针对个别网站检测出注入和跨站，并且罗列大量的变种和错误信息，就号称是全面的应用系统扫描工具。为了展示Web应用扫描工具的真实实力，这次我从商业市场上选择了三款市场占有率最高的Web应用扫描工具： XBM XRational XAppScan 、YAcunetix YWeb YVulnerability YScanner 和ZSecDomain ZWebRavor。当然，我们无法选择所有的应用扫描工具进行测试，如AHP AWebInspect，并不是没有测试就说明产品的能力存在问题，AWebInspect比起其余没有测试的同类产品，能力还是高出很多。

    本次测试是三款WEB应用系统扫描工具的功能和性能进行测试，为了保证测试的公平性，使用同样的机器配置和系统环境，每完成一个软件测试都会对机器进行重启，力图得到一个真实的测试结果。

• 测试对象：

XBM XRational XAppScan XVersion X7.8.0.831 （以下简称：AppScan）

YAcunetix YWeb YVulnerability YScanner YVersion Y6.5 YBuild 20100210 （以下简称：WVS）

ZSecDomain ZWebRavor ZUltra ZEdition ZVersion Z4.50 Build 2899 （以下简称：WebRavor）

• 测试环境：

    处理器：2.00GHz；内存：2G；硬盘：100G；操作系统：Windows 2003；支持环境：.net Framework 3.5 （AppScan）；Access （WVS自带）。

• 测试目标：

   说明：目标网站分别为三款软件所属的公司公布测试网站，另一个是我一个朋友的网站，这样应该相对公平。

 testphp.acunetix.com

 demo.testfire.net

 demo.webravor.com

 综合网站。

• 测试方法：

    三款软件使用默认的设置，在未登录的情况下（偷个懒，哈哈）对4个站点分别进行检测，对扫描到的弱点进行验证并得出准确率。

    漏报率的统计按照3款软件都具有的策略进行统计，如3款软件都有SQL注入策略，对SQL注入的漏报率进行统计。

二.  功能比较

2.1  功能分析

    此次测试首先对三款软件的功能进行了比较。从功能上看，三款软件各具特色，我们选出具有代表性的功能进行分析。

• HTTPS

    三款软件都支持对SSL协议的应用系统进行扫描。但zWebRavor支持SSL转发功能，可以从本地实现代理，抓获未加密的数据包的内容，对发送包里的参数进行检查。

• 多任务

    AppScan和WVS每个项目只能开启一个任务进行扫描，同时开启多个项目后资源占用很严重。WebRavor可以同时发起多个任务进行扫描，资源控制相对较好。

• 计划任务

    计划任务提高了软件的自动化程度，降低了工作人员的管理成本。AppScan测试的这个版本没有提供计划任务。WVS和WebRavor提供了计划任务，提高了产品的易用性。

• 被动扫描

    xAppScan提供了手动探索功能，该功能只能在一个任务开始前和开始后才能启用；yWVS没有此项功能；zWebRavor也提供了此项功能，在扫描的任何时候都可以开启和关闭此功能。

• 复杂的应用系统

    对于复杂的ERP系统和C/S架构的应用系统，AppScan和WVS无法支持，而WebRavor能够的支持各类基于开放协议的应用系统。