国外WEB漏洞扫描系统测评对比详情
| 测试类别 | 测试项 | AWVS | AppScan | HP WebInspect | WebCruiser | Nexpose | nessus | nmap |
| 产品基本要求 | 版本区分情况(分几个版本) | 企业版/顾问版 | 3个版本 | 收费版 | 免费版/ 收费版 | 见参考材料 | Home版/ 企业版 | 免费版 |
| 是否能设置并发扫描域名个数。 | √ | √ | √ | ╳ | √ | √ | ╳ | |
| 是否能设置并发任务个数。 | √ | ╳ | √ | ╳ | √ | √ | ╳ | |
| 是否能设置扫描页面超时时间设置。 | √ | √ | √ | ╳ | √ | √ | √ | |
| 漏洞检测要求 | 是否支持Web 2.0(Ajax、Flash、JS) 等应用。 | √ | √ | √ | √ | √ | ╳ | ╳ |
| 是否支持对基于HTTPS应用系统的检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持解析Javascript脚本、Flash对象中的URL。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持自动过滤重复URL页面。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持对指定URL、当前域、整个域的漏洞扫描。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 是否支持自动发现并扫描整个域下所有子域名。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持预登陆或指定Cookie扫描。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持WAF或其它防护工具的识别,能识别国内外常见WAF。 | √ | ╳ | ╳ | ╳ | ╳ | ╳ | √ | |
| 是否支持对OWASP TOP10(2010-2013)高风险漏洞检测,包括注入攻击漏洞、认证和会话管理失效、跨站脚本攻击、不安全的直接对象引用、不安全的配置、敏感信息泄露、未授权访问、跨站请求伪造、使用的不安全组件、未验证的重定向等。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| SQL注入检测功能是否支持对Get参数的注入检测、Post参数的注入检测、Cookie中变量的注入检测、SQL盲注检测功能。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| XSS跨站脚本检测功能是否支持对Get、Post、Cookie的参数、HTTP头部的user-agent检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持Webshell木马检测。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持网站管理后台地址检测。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持隐藏字段检测。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持Cookie安全问题检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
| 是否支持Web路径下敏感文件检测。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 漏洞验证要求 | 是否支持对检测的高风险漏洞进行自动验证,直观展现漏洞细节信息,如数据库信息、数据表信息和数据库用户名等。 | ╳ | ╳ | ╳ | √ | ╳ | ╳ | ╳ |
| 是否支持在漏洞验证过程中,列出正常请求与检测请求的区别。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
| 风险管理要求 | 是否支持统一的风险管理页面,以站点为单位显示所有任务中所有站点的风险状况、漏洞信息、问题URL等。 | √ | √ | √ | √ | √ | √ | ╳ |
| 任务策略要求 | 是否支持创建单次任务和周期任务,并能自定义任务开始时间。 | √ | ╳ | ╳ | ╳ | √ | ╳ | ╳ |
| 是否支持任务暂停、继续扫描、重新扫描、断点续扫等功能。 | ╳ | √ | ╳ | ╳ | √ | √ | ╳ | |
| 是否支持以上任务管理功能的批量操作。 | ╳ | ╳ | ╳ | ╳ | √ | √ | ╳ | |
| 是否能够通过手工输入和文件导入两种方式录入被扫网站域名列表 | √ | √ | √ | ╳ | √ | √ | ╳ | |
| 是否支持自定义扫描任务策略模板。 | √ | √ | √ | ╳ | √ | √ | ╳ | |
| 报表分析要求 | 是否支持报表样式定制,包括LOGO、标题、页眉页脚等。 | √ | √ | √ | ╳ | √ | ╳ | ╳ |
| 是否支持多种格式输出报表,包括但不限于HTLM、WORD、PDF等格式。 | √ | √ | √ | ╳ | √ | √ | √ | |
| 是否支持在任务执行过程中或暂停时,对已完成扫描的域名直接输出报表。 | √ | √ | √ | ╳ | √ | √ | √ | |
| 报表的内容应包括但不限于任务执行情况、任务策略、站点基本信息、站点风险统计、站点风险分布、漏洞名称、漏洞类型、漏洞影响的站点URL、漏洞详细描述和威胁级别等。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 是否支持单个站点历史数据的纵向分析,实现风险对比、风险跟踪功能,风险对比和跟踪应具体到URL。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持多个站点扫描结果横向分析,按照风险等级、漏洞分类等进行对比。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
| 是否支持报表的在线浏览和离线下载。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
| 安全管理要求 | 支持多用户分权管理。 | ╳ | ╳ | ╳ | ╳ | √ | ╳ | ╳ |
| 支持用户审计功能。能够对用户登录日志、操作记录、系统异常等信息进行纪录和查询。 | ╳ | ╳ | ╳ | ╳ | √ | ╳ | ╳ | |
| 支持配置备份恢复机制,能够对扫描结果、日志、扫描策略模板等配置文件进行导出和导入操作。 | √ | √ | √ | ╳ | ╳ | √ | ╳ | |
| 开放接口支持情况,列出对外接口开放接口情况如XML、API、Web Service。 | √ | √ | ╳ | ╳ | √ | √ | √ | |
| 是否能获取任务状态接口、任务控制接口。 | √ | √ | ╳ | ╳ | √ | √ | √ | |
| 是否能活取扫描结果导出接口、漏洞信息接口。 | √ | √ | ╳ | √ | √ | √ | √ |
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
赞同 0
评论 0 条
- 上周热门
- 如何使用 StarRocks 管理和优化数据湖中的数据? 2950
- 【软件正版化】软件正版化工作要点 2872
- 统信UOS试玩黑神话:悟空 2833
- 信刻光盘安全隔离与信息交换系统 2728
- 镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态 1261
- grub引导程序无法找到指定设备和分区 1225
- 华为全联接大会2024丨软通动力分论坛精彩议程抢先看! 165
- 2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办 163
- 点击报名 | 京东2025校招进校行程预告 163
- 华为纯血鸿蒙正式版9月底见!但Mate 70的内情还得接着挖... 158
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 如何玩转信创开放社区—从小白进阶到专家 15
- 信创开放社区邀请他人注册的具体步骤如下 15
- 方德桌面操作系统 14
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 我有15积分有什么用? 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
热门标签更多
