WASS

WASS全稱是Web Application Security Scanner,中文翻譯即是Web套用安全掃描器。說白一點就是Web漏洞掃描軟體,國外的產品有IBM Appscan、HP WebInspect、Acunetix Web Security Scanner等;國內的產品有JSkyIiscan、Matrixy、WebRavor等。目前WASS也是逐步升溫,廠家也是越來越多。

基本介紹

  • 中文名:Web套用安全掃描器
  • 外文名:Web Application Security Scanner
  • 簡稱:WASS
  • 產品:IBM Appscan、HP WebInspect
基本信息,特點,

基本信息

a. 網頁爬蟲:評價WASS一個很重要的因素來自於連結分析能力,如是否支持從Javascript中提取連結,是否支持從flash檔案中提取連結,是否支持從複雜的ajax套用中提取連結等等。另外也包括標籤的事件,重定向請求等。至於認證和協定都是非常基礎的,缺少這些的我們甚至可以理解它壓根就不是一個WASS。

特點

b. 安全測試:WASS是否有效的核心模組來自於漏洞的分析能力。支持的漏洞種類(SQL注入,跨站腳本,信息泄露等)是否齊全,是否能夠準確分析誤報(如自定義404頁面等),是否支持許可權測試等等。
c. 報表:對於採購WASS的用戶而言,一份漂亮的報表是必不可少的。是否包含漏洞描述,解決建議;是否滿足業界的安全標準(如OWASP TOP 10,薩班斯法案等,這些老外很看重);是針對開發者還是測試人員;是否支持PDF,HTML格式等等
d. 操作性:對於自動話工具而言,越少的操作達到越大的效果是很重要的,因此像掃描操作,暫停操作等是必須的;同時應當能夠及時顯示進度,查看已經發現的漏洞細節等。

相關詞條

熱門詞條

聯絡我們