测试站点 | WVS | ||
高 | 中 | 低 | |
testphp.acunetix.com | 跨站7个,注入7个,HTTP分割相应1个,PHP代码注入1个,合计16个;16/37=43.2%。 | 备份文件1个,PHP信息页面2个,应用系统错误信息页面8个,PHP无效数据类别信息4个,合计15个;15/22=68.1%。 | Trace方法1个,服务器版本信息1个,URL重定向1个,合计3个;3/5=60%。 |
demo.testfire.net | 跨站4个,路径跨越1个,合计5个;5/8=62.5%。 | cookie操纵1个,应用系统错误信息3个,合计4个;4/4=100% | asp.net调试3个,敏感文件1个,目录泄漏2个,敏感文件未加密1个,合计7个;7/9=77.8%。 |
demo.webravor.com | 跨站5个,TOMCAT实例跨站1个,注入3个,合计9个;9/9=100%。 | cookie操纵4个,应用错误信息4个,PHP无效数据类别信息1个,合计9个;9/52=17.3%。 | 敏感文件1个,敏感目录4个,目录列表38个,合计43个;43/84=52.2%。 |
www.target.com | 跨站3个,注入1个,路径跨越1个,URI跨站1个,合计6个;6/6=100%。 | 应用程序错误9个,PHP数据类型无效的错误信息3个,备份文件1个,目录具有写权限6个,合计19个;19/20=90%。 | URL重定向1个,敏感文件3个,敏感目录3个,PROFIND方法开启6个,合计13个;13/17=76.5%。 |
WEB扫描类产品测试--AppScan-WVS-WebRavor(5)
最新推荐文章于 2021-05-02 16:56:01 发布
3.2.2
WVS弱点统计与分析
3.2.2.1
整体状况
3.2.2.2
弱点分析
1.高等级弱点:
SQL注入误报很高, 不能获取数据库信息,不能为SQL注入提供证据。
跨站比较准确,包括了TOMCAT实例跨站、URI跨站等。
WVS把HTTP响应分割归类为高等级弱点,AppScan则归类为中等级弱点。
2.中、低等级弱点:
中、低等级弱点不像AppScan和WebRavor那么清晰,URL重定向,敏感目录这些可以被利用的弱点放在低等级;错误信息,PHP信息页面需要判断信息是否有价值的弱点放在了中等级。