对主流扫描工具漏洞检测能力的测试与分析

品，能力还是高出很多。
准确率。
本次测试是三款 Web 应用系统扫描工具的功能和性
漏报率的统计按照 3 款软件都具有的策略进行统计，
能进行测试，为了保证测试的公平性，使用同样的机器配 如 3 款软件都有 SQL 注入策略，对 SQL 注入的漏报率进
置和系统环境，每完成一个软件测试都会对机器进行重 行统计。
问记录的方式对记录的页面进行检测。
AppScan 和 WVS 每个项目只能开启一个任务进行扫 描，同时开启多个项目后资源占用很严重。WebRavor 可 以同时发起多个任务进行扫描，资源控制相对较好。
计划任务 计划任务提高了软件的自动化程度，降低了工作人员 的管理成本。AppScan 测试的这个版本没有提供计划任 务。WVS 和 WebRavor 提供了计划任务，提高了产品的 易用性。 被动扫描
启，力图得到一个真实的测试结果。
二 . 功能比较
测试对象 ：
2.1 功能分析
IBM Rational AppScan Version 7.8.0.831 （以 下
此次测试首先对三款软件的功能进行了比较。从功能
简称 ：AppScan）
上看，三款软件各具特色，我们选出具有代表性的功能进
Acunetix Web Vulnerability Scanner Version 6.5 行分析。
弱点。AppScan 和 WebRavor 允许手动测试和策略的
准确率的统计分两种方法 ：
扩展，WebRavor 的手动测试更易用，在扫描过程中就
1. 按照每个产品发现的弱点进行验证，如 A 工具的弱
可以使用，而 AppScan 是在扫描开始前或结束后采用访 点为 A1、A2、A3，对 A1、A2、A3 的弱点进行验证，验证出
于复杂的 XSS 和其它安全项目
检测。
信息安全与技术・2010.08・121・
Testing and Analysis·测试分析
C/S 结 构 的 应 NO
NO
用的漏洞检测
断点续扫
YES
YES
异常中断恢复 NO
NO
扫描
多策略可选 YES
YES
F O R M 检 测 YES
YES
(Injection)
公司
IBM
Acunetix
北京安域领创科技有限公司 全内资公司，100% 版权和源代
(China)
码。
平台
Windows 2000 Windows 2000 及以上 Windows 2000 及以上
及 以 上 + .NET
Framework
开发语言
.NET
未知
MFC
无需 .NET 和任何数据库支持，
YES
YES 可以扩展功能 YES 自动 / 手工 ( 任何时候）
YES YES YES
检测登录表单中存在的弱密 码。
使用代理服务器对目标进行扫 描。 对 扫 描 任 务 的 线 程 进 行 控 制， 控制扫描对服务器产生的影 响。 提供应用后台数据库的配置信 息，某 些 数 据 库 可 以 获 得 数 据 库 用 户 和 密 码，并 且 对 密 码 进 行强度检测。 可 以 进 行 渗 透 性 测 试，测 试 方 法可自行设计。 任 何 功 能 都 可 以 自 行 扩 展，无 需改动原代码，无需编程知识。
Testing and Analysis·测试分析
对主流扫描工具漏洞检测能力的 测试与分析
索亮
【摘要】目前商业市场上的 Web 应用安全扫描工具，它们的检测漏洞能力尽管在伯仲之间 . 但它们都有各自的优势和侧重， 对于广大用户而言，在选用 Web 应用安全扫描工具产品上，就要结合系统的需求特征选择不同特性的 Web 应用安全扫描 工具产品，实现对漏洞的检测和对症下药。
被动扫描
YES
NO
YES
对访问的网页，WebRavor 可以
自动进行扫描
混合扫描
NO
NO
YES
主 动 对 网 站 检 测 的 同 时，对 访
问页面进行被动扫描。
交互性测试 YES
YES
YES
提 供 交 互 式 测 试 平 台，测 试 结
果 直 接，例 如 修 改 后 的 结 果 直
接 在 浏 览 器 中 得 到 显 示，常 用
安装简便。
运行环境 ( 推 2 . 4 G / 1 G / 1 0 G 2.0G/1G/5G HD Free 2.4G/2G/10G HD Free Space
荐)
HD Free Space Space
检测项目
HTTPS 支持 YES
YES
YES
HTTPS 证 书 支 YES
YES
YES
持
SSL 转发
AppScan 提供了手动探索功能，该功能只能在一个 任 务 开 始 前 和 开 始 后 才 能 启 用 ；WVS 没 有 此 项 功 能 ； WebRavor 也提供了此项功能，在扫描的任何时候都可以 开启和关闭此功能。
复杂的应用系统 对 于 复 杂 的 ERP 系 统 和 C/S 架 构 的 应 用 系 统， AppScan 和 WVS 无法支持，而 WebRavor 能够支持各类 应用系统。 更多功能的比较详细清单参照下图 ：
NO
式检测
支持字符变形 NO
NO
Javascript页面 YES
YES
爬行
数据库类型识 NO
NO
别
特定数据库漏 N/A
N/A
洞挖掘
数据库结构和 NO
NO
内容获取
定位注入参数 YES
YES
XSS
YES
YES
目录访问
YES
YES
・122・2010.08・信息安全与技术
YES
可 以 提 供 任 何 基 于 http 或 者
SYBASE/PostgreSQL/Ingres/ 称和用户名称，以用于证实弱
FireBird
点的存在，防止抵赖。
MSSQL/ACCESS/MYSQL/
ORACLE/DB2/INFORMIX/
SYBASE/PostgreSQL/Ingres/
FireBird
M S S Q L / A C C E S S / M Y S Q L / 可以获取整个用户表结构和里
https 协议的扫描，不管是 B/S
结构还是 C/S 结构等。
YES
可以从中断位置继续上一次扫
描进程。
YES
由于软件本身或者外部原因造
成 的 软 件 崩 溃，可 以 自 动 重 启
并恢复到意外发生前的扫描状
态。
YES
针对同一个内容的扫描可提供
多种策略选择。
YES
自动分析网页中的表单。
YES YES 多个服务器轮询 YES
报告模板定义 YES
YES
YES
系统资源调控 NO
NO
YES
支持语言
英 文 / 简 体 中 英文 文
英文 / 简体中文
可以自动扩展敏感目录的类型 可以自行设定新的网页木马特 征标志。 例如 ：网银、在线电子商务等
任何数据都可以通过 CSV 格式 导 出，以 方 便 产 生 EXCEL 表 格 （中文、英文）。
支持。
3.2 结果统计
三款产品都具备了应用系统评估工具的基本功能 ：
统计的基础规则 ：
爬行和检测。WVS 过于依赖自己的爬行和检测的能力，
WVS 的统计包括了所有的变种，我在统计的过程中去
不允许按 web 应用系统操作流程的方式进行手动测试， 除变种的数字，按照出现漏洞的参数进行统计，这样我认
不允许策略扩展，这对于千变万化的应用系统是致命的 为是比较科学的 WEB 应用弱点统计的方法。
NO
NO
YES
对网站的整个域进行扫描。
自动扫描
单一域名 /IP 单一域名 /IP
单一域名 / 多域名 /IP
半自动扫描 YES
NO
YES
半 自 动 扫 描 常 用 于 ERP 用 户
交 互 性 比 较 高 的 系 统，用 户 按
照 正 常 的 工 作 模 式 进 行 操 作，
WebRavor 可自动检测出弱点。
Build 20100210（以下简称 ：WVS）
HTTPS
SecDomain WebRavor Ultra Edition Version 4.50
三款软件都支持对 SSL 协议的应用系统进行扫描。
Build 2899（以下简称 ：WebRavor）
但 WebRavor 支 持 SSL 转 发 功 能，可 以 从 本 地 实 现 代
【关键词】Web 应用工具 ；安全扫描 ；检测漏洞
一 . 综述
（AppScan）；Access（WVS 自带）。
面对风起云涌的 Web 应用扫描工具市场，产品的能 测试目标 ：
力也是参差不齐，有些软件可以针对个别网站检测出注入
说明 ：目标网站分别为三款软件所属的公司公布测试
和跨站，并且罗列大量的变种和错误信息，就号称是全面 网站，另一个是我一个朋友的网站，这样应该相对公平。
测试环境 ：
理，抓获未加密的数据包的内容，对发送包里的参数进行
处 理 器 ：2.00GHz ；内 存 ：2G ；硬 盘 ：100G ；操 作 系 检查。
பைடு நூலகம்统 ：Windows 2003 ；支 持 环 境 ：.net Framework 3.5
多任务
・120・2010.08・信息安全与技术
测试分析·Testing and Analysis
FORM 弱 口 令 YES
YES
检测
URL 重定向 YES
YES
代理服务器 单一服务器
NO
线程控制
NO
NO
数据库基线审 NO
NO
计
渗透测试框架 NO
NO
策略扩展性 YES
NO
CGI Scan
YES
YES
重复页面过滤 扫描开始前手工 NO
检测所有参数 YES
YES
SQL 注入
YES
YES
Cookie 注入方 NO
复 杂 应 用 NO
（ERP）
升级形式
Online
数据导出
XML
YES YES NO
NO
Online XML,AVDL
YES YES/ 可扩展 YES/ 可扩展
YES
Online CSV,XML
报告格式
PDF、HTML、RTF PDF、HTML、TEXT、WORD PDF、XML、HTML、MHT、DOC
对 于 大 型 的 网 站，可 以 自 动 过 滤掉大量重复、类似的页面，节 约扫描时间。
独有方式。
YES
可以绕过某些关键字检测系统
YES
支持从 Javascript 中提取 URL。
M S S Q L / A C C E S S / M Y S Q L / 能自动识别应用系统后台的数
O R A C L E / D B 2 / I N F O R M I X / 据库，并且自动读出数据库名
O R A C L E / D B 2 / I N F O R M I X / 面的内容，还可以进行智能查
SYBASE/PostgreSQL/Ingres/ 找。
FireBird
YES
YES
YES
测试分析·Testing and Analysis
敏感文件检测 YES 隐藏目录扫描 YES 网页木马检测 NO
综合网站。
WebRavor。当然，我无法选择所有的应用扫描工具进行 测试方法 ：
测试，如 HP WebInspect，并不是没有测试就说明产品的
三 款 软 件 使 用 默 认 的 设 置，在 未 登 录 的 情 况 下 对 4
能力存在问题，WebInspect 比起其余没有测试的同类产 个站点分别进行检测，对扫描到的弱点进行验证并得出
NO
NO
NO
本地主机对 SSL 进行转发。
多任务 ( 同时 NO
NO
YES
任何时候都可以开始新的任
扫描不同应
务，不 必 等 待，并 且 提 供“任 务
用)
管理器”，可任意进行调度和管
理。
使用计划任务 不能批量扫描 YES
YES
支 持 定 时 扫 描，及 批 量 导 入 域
及批量扫描
名进行扫描。
全域扫描
可以使用图形化工具自行设计 报告版式。 设置产品自身占用的系统资 源。 根据操作系统自动选择语言。
2.2 功能总结
3.1 测试时间
在对应用系统类型的支持上，三款产品都支持 HTTP
和 HTTPS 协议的应用系统，但是对于复杂的 ERP 系统，
APPSCAN 和 WVS 不 能 够 支 持，只 有 WebRavor 能 够
的应用系统扫描工具。为了展示 Web 应用扫描工具的
testphp.acunetix.com
真实实力，这次我从商业市场上选择了三款市场占有率最
demo.testfire.net
高 的 Web 应 用 扫 描 工 具 ： IBM Rational AppScan 、
demo.webravor.com
Acunetix Web Vulnerability Scanner 和 SecDomain
产品
IBM Rational A c u n e t i x W e b WebRavor 4.5
Detail
A p p S c a n Vulnerability Scanner 6.5
7.8.0.831
在 2006 年 BlackHat 和 Def-Con 发布，被评价为商业市场上最
好的 Web 安全扫描工具。