AppScan和AWVS業界知名的Web漏洞掃描工具,你是否也好奇到底哪一個能力更勝一籌呢?接下來跟隨博主一探究竟吧。
1. 方案概覽
- 第一步:安裝一個用于評測的Web漏洞靶場(本文采用最知名和最廣泛使用的靶場,即OWASP Benchmark);
- 第二步:分別使用兩款工具對靶場進行漏洞掃描,掃描參數盡量保持一致;
- 第三步:從多維度對比分析掃描過程和掃描結果;
兩者的掃描報告概覽如下:
2. 具體實施
2.1. 環境信息
本次測評所用的基礎環境和工具版本信息如下:
- 操作系統 Windows 10
- OWASP benchmark V1.2
- AppScan 10.0.8
- AWVS 15.0.221007170
若對以下評測過程感興趣,可以動手實操,所需要的基礎環境和工具安裝配置指導可以參閱博主前期文章:
- OWASP Benchmark | OWASP 基準項目鏡像方式安裝、配置及如何生成SAST和DAST工具的評分報告
- 安全工具 | AWVS漏洞掃描工具安裝、使用技巧及注意事項(附工具下載鏈接)
- 安全工具 | AppScan漏洞掃描工具標準版免費安裝、配置及使用指導(附工具下載鏈接)
2.2. 測試步驟
2.2.1. 啟動靶場項目OWASP Benchmark
啟動OWASP Benchmark項目,項目啟動成功后可以通過URL訪問靶場,本例中啟動靶場地址為https://local:8443/benchmark/:
2.2.2. AWVS掃描
1、在AWVS上創建掃描任務,參數配置如下:
- 掃描策略:Full Scan,即全量掃描;
- 掃描速度:Fast,即AWVS的最快速度掃描
- 其他參數默認
2、按以上配置執行掃描,掃描完成后可以界面上看到掃描結果。
3、進入報告詳情界面查看并下載報告
2.2.3. AppScan掃描
1、打開AppScan客戶端,創建掃描任務,參數配置如下:
- 掃描策略:Full Scan,即全量掃描;
- 掃描速度:Fast,即快速度掃描
- 其他參數默認
2、啟動AppScan掃描任務,可以看到CPU直接爆滿
整個掃描過程比較漫長,需要耐心等待
3、掃描完成后查看并下載報告
2.3. 報告對比分析
完成以上兩款工具對同一靶場的掃描后我們可以得到如下掃描報告:
- AppScan OWASP benchmark掃描報告.pdf (訪問密碼: 6277)
- AWVS OWASP benchmark掃描報告.pdf (訪問密碼: 6277)
接下來我們按以下維度進行對比:
| 對比項 | AWVS | AppScan | 備注 |
|---|---|---|---|
| 掃描耗時 | 140min | 533min | AppScan耗時久主要有兩個原因:1、AppScan掃描規則極多;2、以上掃描參數配置的掃描速度并非是AppScan的最快速度 |
| 掃描請求個數 | 20萬+個 | 100萬+個 | 從AppScan發送的請求數超百萬個,也可以簡單說明AppScan規則數量極多 |
| 發現問題數 | 210個,其中有202個是高危漏洞 | 9000+個,其中972個高危漏洞 | 兩者發現的問題根本不在一個量級 |
由于掃描報告涉及到的漏洞較多,高達上千個,博主暫時未來得及將掃描的問題進行分類比較,接下來有時間會將兩者的掃描報告與OWASP Benchmark 的基準漏洞做次對比,用于評測兩款工具針對漏洞的誤報率和漏報率。
2.4. 總結
AppScan有業界最強悍的規則庫,AppScan的規則庫內置了超過1.2萬個測試用例,測試用例最全,所以AppScan掃描的問題更多,掃描時長也較久;AWVS掃描SQL 注入和跨站腳本的能力較專,誤報相對較低,掃描時長較短。建議企業在日常測試流程中使用AWVS,在針對重點或高風險版本使用AppScan進行查漏補缺。
![[數據結構] 基于交換的排序 冒泡排序快速排序](http://pic.xiahunao.cn/[數據結構] 基于交換的排序 冒泡排序快速排序)
)
