关于黑盒,个人认为还是首先考虑是私用还是商用。
私用的话去找一些开源的工具就好,像OWASP ZAP、Arachni、Wfuzz、Nikto这几个都是免费开源的。
商用的话就比较特殊,需要考量的因素比较多(当然也比较贵),除了规则库、准确率、误报率、效率、稳定性以外,合规也是非常重要的因素(当了多年甲方运维狗已经被合规搞怕了/哈哈)。
商用给你推荐的话,当然是曾以 Watchfire AppScan 的名称享誉业界的AppScan,当年IBM收购了这条产品线以后更名为IBM Rational AppScan,可想而知,能被IBM看上的都不是省油的灯。之后,IBM的Web系统在上线之前,必须要通过公司的安全扫描,执行这个扫描任务的就是著名的Appscan。 这个软件能构造各种各样的输入, 模拟各种黑客的攻击,发现Web系统的各种漏洞: SQL注入,XSS,CSRF,Session Fixation等等, 非常强大,是Web系统安全探测好助手,后来还出了一个SaaS版。
直到2018年12月IBM的几大软件被HCL所收购,这让我挺震惊的,因为这些软件我很熟悉,有些还是经常使用的,其中一个就是 Appscan。
换了东家之后,价格倒是提升了不少,但是市场占有率还是稳居第一,性能方面更没得说。本人还使用过HP的WebInspect和Acunetix的VWS,相比之下除了价格便宜之外没有其他好感(个人感受,不喜勿喷),误报率相对较高、漏洞升级也不及时,前者还不支持JavaScript,稳定性不够,总的来说不太推荐以上两款(虽然WebInspect市场占有率第二)。2008年AppScan还推出了白盒安全测试工具,个人接触较少不知道性能如何,希望有使用过的朋友指点指点。
有兴趣一起交流的朋友欢迎评论留言。
扫一扫
6483
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
