| No | 测试项 | |||||||
| 杭州安恒 | 知道创宇 | 绿盟科技 | 安塞科技 | 国舜科技 | 安域领创 | 启明星辰 | ||
| 产品基本要求 | 是否是否支持集群部署模式,可定义管理节点和扫描引擎的角色。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ |
| 管理节点是否支持任务调度、结果汇总、报表统一分析功能。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持扫描智能调度,可将任务负载均衡分配至所有的扫描引擎。 | 是√ 粒度到域名级别 | 是√ 粒度到域名级别 | 是√ 粒度到域名级别 | 是√ 粒度到域名级别 | 是√ 粒度到域名级别 | 是√ 粒度到域名级别 | 否╳ | |
| 在扫描过程中是否能够避免影响目标Web应用系统的正常工作,不对其产生较大的性能影响。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 漏洞检测要求 | 是否支持Web 2.0(Ajax、Flash、JS) 等应用。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ |
| 是否支持对基于HTTPS应用系统的检测。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持解析Javascript脚本、Flash对象中的URL。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持自动过滤重复URL页面。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持对指定URL、当前域、整个域的漏洞扫描。 | 是√ | 是√ | 是√ | 是√ | 否╳ | 是√ | 否╳ | |
| 是否支持自动发现并扫描整个域下所有子域名。 | 是√ | 是√ | 是√ | 是√ | 否╳ 需要提前手动指定 | 是√ | 否╳ 需要提前手动指定 | |
| 是否支持预登陆或指定Cookie扫描。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ 只支持cookie登陆 | 是√ | |
| 是否支持WAF或其它防护工具的识别,能识别国内外常见WAF | 否╳ | 是√ | 否╳ | 否╳ | 否╳ | 否╳ | 否╳ | |
| 是否支持对OWASP TOP10(2010-2013)高风险漏洞检测,包括注入攻击漏洞、认证和会话管理失效、跨站脚本攻击、不安全的直接对象引用、不安全的配置、敏感信息泄露、未授权访问、跨站请求伪造、使用的不安全组件、未验证的重定向等。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| SQL注入检测功能是否支持对Get参数的注入检测、Post参数的注入检测、Cookie中变量的注入检测、SQL盲注检测功能。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| XSS跨站脚本检测功能是否支持对Get、Post、Cookie的参数、HTTP头部的user-agent检测。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持Webshell木马检测。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持网站管理后台地址检测。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持隐藏字段检测。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持Cookie安全问题检测。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持Web路径下敏感文件检测。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 漏洞验证要求 | 是否支持对检测的高风险漏洞进行自动验证,直观展现漏洞细节信息,如数据库信息、数据表信息和数据库用户名等。 | 是√ 验证时可自动,也可查看攻击请求和响应代码,可对问题页面重新扫描以便确认 | 是√ POST请求无法验证 | 是√ 可验证SQL,XSS,PUT上传,目录列表,命令注入,支持批量验证,但没有验证细节 | 是√ 集成验证插件 | 否╳ | 是√ | 否╳ |
| 是否支持误报修正功能。 | 是√ | 是√ | 是√ 支持批量误报修正 | 是√ | 否╳ | 否╳ | 否╳ | |
| 是否支持在漏洞验证过程中,列出正常请求与检测请求的区别。 | 是√ | 否╳ | 否╳ | 否╳ | 否╳ | 是√ | 否╳ | |
| 事件监测要求 | 是否支持可用性监测、网页木马监测、暗链监测、篡改监测、敏感关键字监测的独立策略设置,可独立配置监测周期、监测深度、监测页面数。 | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ | 否╳ |
| 可用性检测是否支持检测网站首页响应速度。 | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ | 否╳ | |
| 网页木马监测是否支持多种挂马方式检测,如Iframe、CSS、JS、SWF等;木马特征库能自动更新。 | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ | 否╳ | |
| 篡改监测是否支持对对检测到的被黑页面取证保存。 | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ | 否╳ | |
| 风险管理要求 | 是否支持以地图、列表等模式直观展示所有站点的整体风险状况、漏洞信息、变化趋势等。 | 是√ | 是√ | 是√ | 否╳ | 否╳ | 否╳ | 否╳ |
| 是否支持统一的风险管理页面,以站点为单位显示所有任务中所有站点的风险状况、漏洞信息、问题URL等。 | 是√ | 是√ | 否╳ 从任务视角显示扫描结果 | 否╳ | 是√ 展示项较少 | 否╳ | 是√ | |
| 任务策略要求 | 是否支持创建单次任务和周期任务,并能自定义任务开始时间。 | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ 不支持周期和定时任务 | 否╳ 不支持周期和定时任务 |
| 是否支持任务暂停、继续扫描、重新扫描、断点续扫等功能。 | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ | 是√ | |
| 是否支持以上任务管理功能的批量操作。 | 是√ | 是√ | 是√ | 是√ | 是√ | 否╳ | 是√ | |
| 是否支持自定义扫描任务策略模板。 | 是√ | 是√ | 是√ | 否╳ | 是√ | 是√ | 是√ | |
| 报表分析要求 | 是否支持报表样式定制,包括LOGO、标题、页眉页脚等。 | 是√ | 是√ | 是√ | 否╳ | 否╳ | 否╳ | 否╳ |
| 是否支持多种格式输出报表,包括但不限于HTLM、WORD、PDF等格式。 | 是√ DOC、PDF、XML、HTML | 是√ DOC、PDF、HTML | 是√ DOC、PDF、HTML | 是√ DOC、HTML | 是√ DOC、PDF、HTML | 是√ DOC、XML | 是√ DOC、XML、HTML | |
| 是否支持在任务执行过程中或暂停时,对已完成扫描的域名直接输出报表。 | 是√ | 是√ | 否╳ | 否╳ | 否╳ | 是√ | 否╳ | |
| 报表的内容应包括但不限于任务执行情况、任务策略、站点基本信息、站点风险统计、站点风险分布、漏洞名称、漏洞类型、漏洞影响的站点URL、漏洞详细描述和威胁级别等。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 是否支持单个站点历史数据的纵向分析,实现风险对比、风险跟踪功能,风险对比和跟踪应具体到URL。 | 是√ | 否╳ 只能从任务角度进行数据分析对比 | 是√ | 否╳ 没有分析对比功能 | 否╳ 没有分析对比功能 | 是√ | 是√ | |
| 是否支持多个站点扫描结果横向分析,按照风险等级、漏洞分类等进行对比。 | 是√ | 否╳ 只能从任务角度进行数据分析对比 | 是√ | 否╳ 没有分析对比功能 | 是√ | 是√ | 是√ | |
| 是否支持报表的在线浏览和离线下载。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 安全管理要求 | 支持多用户分权管理。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ |
| 支持用户审计功能。能够对用户登录日志、操作记录、系统异常等信息进行纪录和查询。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 支持配置备份恢复机制,能够对扫描结果、日志、扫描策略模板等配置文件进行导出和导入操作。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 支持使用HTTPS方式访问管理中心,保证扫描数据在传输过程中完整性和保密性。 | 是√ | 是√ | 是√ | 是√ | 否╳ 未完全实现,HTTP与HTTPS使用同一个session | 是√ | 是√ | |
| 支持远程登陆限制,对可进行远程管理的主机IP地址范围进行限制。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
| 支持提供标准的API、WEB Service接口,方便第三方系统进行数据采集和调用。 | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | 是√ | |
国内WEB漏洞扫描功能测试对比
最新推荐文章于 2023-05-16 20:33:05 发布
4000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
