| 测试类别 | 测试项 | AWVS | AppScan | HP WebInspect | WebCruiser | Nexpose | nessus | nmap |
| 产品基本要求 | 版本区分情况(分几个版本) | 企业版/顾问版 | 3个版本 | 收费版 | 免费版/ 收费版 | 见参考材料 | Home版/ 企业版 | 免费版 |
| 是否能设置并发扫描域名个数。 | √ | √ | √ | ╳ | √ | √ | ╳ | |
| 是否能设置并发任务个数。 | √ | ╳ | √ | ╳ | √ | √ | ╳ | |
| 是否能设置扫描页面超时时间设置。 | √ | √ | √ | ╳ | √ | √ | √ | |
| 漏洞检测要求 | 是否支持Web 2.0(Ajax、Flash、JS) 等应用。 | √ | √ | √ | √ | √ | ╳ | ╳ |
| 是否支持对基于HTTPS应用系统的检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持解析Javascript脚本、Flash对象中的URL。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持自动过滤重复URL页面。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持对指定URL、当前域、整个域的漏洞扫描。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 是否支持自动发现并扫描整个域下所有子域名。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持预登陆或指定Cookie扫描。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持WAF或其它防护工具的识别,能识别国内外常见WAF。 | √ | ╳ | ╳ | ╳ | ╳ | ╳ | √ | |
| 是否支持对OWASP TOP10(2010-2013)高风险漏洞检测,包括注入攻击漏洞、认证和会话管理失效、跨站脚本攻击、不安全的直接对象引用、不安全的配置、敏感信息泄露、未授权访问、跨站请求伪造、使用的不安全组件、未验证的重定向等。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| SQL注入检测功能是否支持对Get参数的注入检测、Post参数的注入检测、Cookie中变量的注入检测、SQL盲注检测功能。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| XSS跨站脚本检测功能是否支持对Get、Post、Cookie的参数、HTTP头部的user-agent检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持Webshell木马检测。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持网站管理后台地址检测。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持隐藏字段检测。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持Cookie安全问题检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持Web路径下敏感文件检测。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 漏洞验证要求 | 是否支持对检测的高风险漏洞进行自动验证,直观展现漏洞细节信息,如数据库信息、数据表信息和数据库用户名等。 | ╳ | ╳ | ╳ | √ | ╳ | ╳ | ╳ |
| 是否支持在漏洞验证过程中,列出正常请求与检测请求的区别。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 风险管理要求 | 是否支持统一的风险管理页面,以站点为单位显示所有任务中所有站点的风险状况、漏洞信息、问题URL等。 | √ | √ | √ | √ | √ | √ | ╳ |
| 任务策略要求 | 是否支持创建单次任务和周期任务,并能自定义任务开始时间。 | √ | ╳ | ╳ | ╳ | √ | ╳ | ╳ |
| 是否支持任务暂停、继续扫描、重新扫描、断点续扫等功能。 | ╳ | √ | ╳ | ╳ | √ | √ | ╳ | |
| 是否支持以上任务管理功能的批量操作。 | ╳ | ╳ | ╳ | ╳ | √ | √ | ╳ | |
| 是否能够通过手工输入和文件导入两种方式录入被扫网站域名列表 | √ | √ | √ | ╳ | √ | √ | ╳ | |
| 是否支持自定义扫描任务策略模板。 | √ | √ | √ | ╳ | √ | √ | ╳ | |
| 报表分析要求 | 是否支持报表样式定制,包括LOGO、标题、页眉页脚等。 | √ | √ | √ | ╳ | √ | ╳ | ╳ |
| 是否支持多种格式输出报表,包括但不限于HTLM、WORD、PDF等格式。 | √ | √ | √ | ╳ | √ | √ | √ | |
| 是否支持在任务执行过程中或暂停时,对已完成扫描的域名直接输出报表。 | √ | √ | √ | ╳ | √ | √ | √ | |
| 报表的内容应包括但不限于任务执行情况、任务策略、站点基本信息、站点风险统计、站点风险分布、漏洞名称、漏洞类型、漏洞影响的站点URL、漏洞详细描述和威胁级别等。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 是否支持单个站点历史数据的纵向分析,实现风险对比、风险跟踪功能,风险对比和跟踪应具体到URL。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持多个站点扫描结果横向分析,按照风险等级、漏洞分类等进行对比。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持报表的在线浏览和离线下载。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 安全管理要求 | 支持多用户分权管理。 | ╳ | ╳ | ╳ | ╳ | √ | ╳ | ╳ |
| 支持用户审计功能。能够对用户登录日志、操作记录、系统异常等信息进行纪录和查询。 | ╳ | ╳ | ╳ | ╳ | √ | ╳ | ╳ | |
| 支持配置备份恢复机制,能够对扫描结果、日志、扫描策略模板等配置文件进行导出和导入操作。 | √ | √ | √ | ╳ | ╳ | √ | ╳ | |
| 开放接口支持情况,列出对外接口开放接口情况如XML、API、Web Service。 | √ | √ | ╳ | ╳ | √ | √ | √ | |
| 是否能获取任务状态接口、任务控制接口。 | √ | √ | ╳ | ╳ | √ | √ | √ | |
| 是否能活取扫描结果导出接口、漏洞信息接口。 | √ | √ | ╳ | √ | √ | √ | √ |
国外WEB漏洞扫描系统测评对比详情
最新推荐文章于 2024-08-10 09:33:23 发布
扫一扫
7673
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
