最近在网上看到很多关于如何进行黑盒测试或者怎么选择测试工具的问题,想着写篇文章给存在疑惑的朋友一些建议,或者有更专业的朋友可以一起讨论交流。顺便跟大家说一下AppScan license更新的事情。
关于黑盒,个人认为还是首先考虑是私用还是商用。
私用的话去找一些开源的工具就好,像OWASP ZAP、Arachni、Wfuzz、Nikto这几个都是免费开源的。
商用的话就比较特殊,需要考量的因素比较多(当然也比较贵),除了规则库、准确率、误报率、效率、稳定性以外,合规也是非常重要的因素(当了多年甲方运维狗已经被合规搞怕了/哈哈)。
商用给你推荐的话,当然是曾以 Watchfire AppScan 的名称享誉业界的AppScan,当年IBM收购了这条产品线以后更名为IBM Rational AppScan,可想而知,能被IBM看上的都不是省油的灯。之后,IBM的Web系统在上线之前,必须要通过公司的安全扫描,执行这个扫描任务的就是著名的Appscan。 这个软件能构造各种各样的输入, 模拟各种黑客的攻击,发现Web系统的各种漏洞: SQL注入,XSS,CSRF,Session Fixation等等, 非常强大,是Web系统安全探测好助手,后来还出了一个SaaS版。
直到2018年12月IBM的几大软件被HCL所收购,这让我挺震惊的,因为这些软件我很熟悉,有些还是经常使用的,其中一个就是 Appscan。
换了东家之后,价格倒是提升了不少,但是市场占有率还是稳居第一,性能方面更没得说。本人还使用过HP的WebInspect和Acunetix的VWS,相比之下除了价格便宜之外没有其他好感(个人感受,不喜勿喷),误报率相对较高、漏洞升级也不及时,前者还不支持JavaScript,稳定性不够,总的来说不太推荐以上两款(虽然WebInspect市场占有率第二)。2008年AppScan还推出了白盒安全测试工具,个人接触较少不知道性能如何,希望有使用过的朋友指点指点。
2020年HCL公司还对AppScan的订阅许可证进行了更新,AppScan我也用了很多年,这个license的使用方法可以找我了解一下,乐意为大家排忧解难。
希望和大家多多交流,个人卫星①③⑦⑧⑥②⑦0⑤⑧②.
网友评论