WEB扫描类产品测试--AppScan-WVS-WebRavor(9)

3.4   策略分析

三款软件的策略都围绕自己的设计理念进行，在它们的策略中也有一些策略是相同的或相近的，如下图所示：

     SQL注入、XSS是OWASP的TOP10里的前两位，应用系统扫描工具都具有判断这两个漏洞的功能。

     目录泄漏：有可能导致敏感文件的泄漏，如一个目录中包含了用户的账号信息的页面，则可以通过该目录直接查看到用户信息的页面。

     WEB允许写操作：直接向目录中写入文件。

     路径跨越：执行硬盘上的文件。

     URL重定向被利用：用于钓鱼。

     敏感目录：用于暴力破解，或者通过注入获得的信息通过管理员页面登录应用系统。

这些策略都是直接可以被攻击者利用或者直接给攻击者提供参考价值。

       在这三款软件中，WebRavor能够很好的发现利用价值较高的弱点，并且可以对这些弱点进行关联分析。比如发现SQL注入点，可以通过SQL注入点获取数据库的信息，同时又发现敏感的登录页面，这两个弱点进行关联，就可以证明该应用系统存在很大的风险。

     AppScan和WVS，只是对罗列的策略进行检测。AppScan虽然根据攻击者的攻击方式将策略重新划分，但是总有画蛇添足的嫌疑。如一个参数存在跨站脚本弱点，AppScan会把<script>替换成<iframe>，并重新起名为“通过框架钓鱼”，图片跨站脚本弱点重新起名为“链接弱点”，弱点看起来很多，有危害的没几个。

       WVS大量的提示信息、错误信息提示，需要有经验的渗透工程师将其汇总、验证才能判断出应用系统是否存在风险。

3.5   测试能力分析

       在三款软件扫描的时间上，WVS耗时最长，AppScan其次，WebRavor最短。

       AppScan和WVS由于设计理念所限，依然存在很高的误报，在对返回包数据的挖掘能力上，自动化程度不够，需要人工验证的大量参与。WebRavor不仅提供了SQL注入的验证，而且对返回包的数据自动进行筛选。

四.   测试总结

       AppScan、WVS、WebRavor是目前商业市场上最著名的三款WEB应用安全扫描工具，其检测漏洞的能力也在伯仲之间。

       经过对三款软件的测试，可以对产品发现弱点的能力上有了非常细致的了解。当然这只是基于4个网站的测试，从测试的设计开始难免会有遗漏或设计不周的地方，比如我没有在测试的时候使用监控软件来查看每个软件占用资源等等对软件性能的测试的比较，只是对软件的功能进行比较，对发现的弱点以及这些弱点的策略进行了比较。

       通过对三款软件的功能和检测漏洞能力上的分析可以发现，综合能力上WebRavor占有一定的优势，优点突出；AppScan和WVS的综合能力稍微弱一些。WVS发现SQL注入的能力上比AppScan强一些。