国内WEB漏洞扫描功能测试对比

最新推荐文章于 2025-04-03 17:04:56 发布

Jeromeyoung666

最新推荐文章于 2025-04-03 17:04:56 发布

阅读量1.7k

点赞数

分类专栏： Scan

本文链接：https://blog.youkuaiyun.com/Jack0610/article/details/110518620

版权

Scan 专栏收录该内容

5 篇文章

订阅专栏

No	测试项
No	测试项	杭州安恒	知道创宇	绿盟科技	安塞科技	国舜科技	安域领创	启明星辰
产品基本要求	是否是否支持集群部署模式，可定义管理节点和扫描引擎的角色。	是√	是√	是√	是√	是√	是√	否╳
	管理节点是否支持任务调度、结果汇总、报表统一分析功能。	是√	是√	是√	是√	是√	是√	是√
	是否支持扫描智能调度，可将任务负载均衡分配至所有的扫描引擎。	是√ 粒度到域名级别	是√ 粒度到域名级别	是√ 粒度到域名级别	是√ 粒度到域名级别	是√ 粒度到域名级别	是√ 粒度到域名级别	否╳
	在扫描过程中是否能够避免影响目标Web应用系统的正常工作，不对其产生较大的性能影响。	是√	是√	是√	是√	是√	是√	是√
漏洞检测要求	是否支持Web 2.0（Ajax、Flash、JS）等应用。	是√	是√	是√	是√	是√	是√	是√
	是否支持对基于HTTPS应用系统的检测。	是√	是√	是√	是√	是√	是√	是√
	是否支持解析Javascript脚本、Flash对象中的URL。	是√	是√	是√	是√	是√	是√	是√
	是否支持自动过滤重复URL页面。	是√	是√	是√	是√	是√	是√	是√
	是否支持对指定URL、当前域、整个域的漏洞扫描。	是√	是√	是√	是√	否╳	是√	否╳
	是否支持自动发现并扫描整个域下所有子域名。	是√	是√	是√	是√	否╳ 需要提前手动指定	是√	否╳ 需要提前手动指定
	是否支持预登陆或指定Cookie扫描。	是√	是√	是√	是√	是√	是√ 只支持cookie登陆	是√
	是否支持WAF或其它防护工具的识别，能识别国内外常见WAF	否╳	是√	否╳	否╳	否╳	否╳	否╳
	是否支持对OWASP TOP10（2010-2013）高风险漏洞检测，包括注入攻击漏洞、认证和会话管理失效、跨站脚本攻击、不安全的直接对象引用、不安全的配置、敏感信息泄露、未授权访问、跨站请求伪造、使用的不安全组件、未验证的重定向等。	是√	是√	是√	是√	是√	是√	是√
	SQL注入检测功能是否支持对Get参数的注入检测、Post参数的注入检测、Cookie中变量的注入检测、SQL盲注检测功能。	是√	是√	是√	是√	是√	是√	是√
	XSS跨站脚本检测功能是否支持对Get、Post、Cookie的参数、HTTP头部的user-agent检测。	是√	是√	是√	是√	是√	是√	是√
	是否支持Webshell木马检测。	是√	是√	是√	是√	是√	是√	是√
	是否支持网站管理后台地址检测。	是√	是√	是√	是√	是√	是√	是√
	是否支持隐藏字段检测。	是√	是√	是√	是√	是√	是√	是√
	是否支持Cookie安全问题检测。	是√	是√	是√	是√	是√	是√	是√
	是否支持Web路径下敏感文件检测。	是√	是√	是√	是√	是√	是√	是√
漏洞验证要求	是否支持对检测的高风险漏洞进行自动验证，直观展现漏洞细节信息，如数据库信息、数据表信息和数据库用户名等。	是√ 验证时可自动，也可查看攻击请求和响应代码，可对问题页面重新扫描以便确认	是√ POST请求无法验证	是√ 可验证SQL，XSS，PUT上传，目录列表，命令注入，支持批量验证，但没有验证细节	是√ 集成验证插件	否╳	是√	否╳
	是否支持误报修正功能。	是√	是√	是√ 支持批量误报修正	是√	否╳	否╳	否╳
	是否支持在漏洞验证过程中，列出正常请求与检测请求的区别。	是√	否╳	否╳	否╳	否╳	是√	否╳
事件监测要求	是否支持可用性监测、网页木马监测、暗链监测、篡改监测、敏感关键字监测的独立策略设置，可独立配置监测周期、监测深度、监测页面数。	是√	是√	是√	是√	是√	否╳	否╳
	可用性检测是否支持检测网站首页响应速度。	是√	是√	是√	是√	是√	否╳	否╳
	网页木马监测是否支持多种挂马方式检测，如Iframe、CSS、JS、SWF等；木马特征库能自动更新。	是√	是√	是√	是√	是√	否╳	否╳
	篡改监测是否支持对对检测到的被黑页面取证保存。	是√	是√	是√	是√	是√	否╳	否╳
风险管理要求	是否支持以地图、列表等模式直观展示所有站点的整体风险状况、漏洞信息、变化趋势等。	是√	是√	是√	否╳	否╳	否╳	否╳
风险管理要求	是否支持统一的风险管理页面，以站点为单位显示所有任务中所有站点的风险状况、漏洞信息、问题URL等。	是√	是√	否╳ 从任务视角显示扫描结果	否╳	是√ 展示项较少	否╳	是√
任务策略要求	是否支持创建单次任务和周期任务，并能自定义任务开始时间。	是√	是√	是√	是√	是√	否╳ 不支持周期和定时任务	否╳ 不支持周期和定时任务
	是否支持任务暂停、继续扫描、重新扫描、断点续扫等功能。	是√	是√	是√	是√	是√	否╳	是√
	是否支持以上任务管理功能的批量操作。	是√	是√	是√	是√	是√	否╳	是√
	是否支持自定义扫描任务策略模板。	是√	是√	是√	否╳	是√	是√	是√
报表分析要求	是否支持报表样式定制，包括LOGO、标题、页眉页脚等。	是√	是√	是√	否╳	否╳	否╳	否╳
	是否支持多种格式输出报表，包括但不限于HTLM、WORD、PDF等格式。	是√ DOC、PDF、XML、HTML	是√ DOC、PDF、HTML	是√ DOC、PDF、HTML	是√ DOC、HTML	是√ DOC、PDF、HTML	是√ DOC、XML	是√ DOC、XML、HTML
	是否支持在任务执行过程中或暂停时，对已完成扫描的域名直接输出报表。	是√	是√	否╳	否╳	否╳	是√	否╳
	报表的内容应包括但不限于任务执行情况、任务策略、站点基本信息、站点风险统计、站点风险分布、漏洞名称、漏洞类型、漏洞影响的站点URL、漏洞详细描述和威胁级别等。	是√	是√	是√	是√	是√	是√	是√
	是否支持单个站点历史数据的纵向分析，实现风险对比、风险跟踪功能，风险对比和跟踪应具体到URL。	是√	否╳ 只能从任务角度进行数据分析对比	是√	否╳ 没有分析对比功能	否╳ 没有分析对比功能	是√	是√
	是否支持多个站点扫描结果横向分析，按照风险等级、漏洞分类等进行对比。	是√	否╳ 只能从任务角度进行数据分析对比	是√	否╳ 没有分析对比功能	是√	是√	是√
	是否支持报表的在线浏览和离线下载。	是√	是√	是√	是√	是√	是√	是√
安全管理要求	支持多用户分权管理。	是√	是√	是√	是√	是√	是√	是√
	支持用户审计功能。能够对用户登录日志、操作记录、系统异常等信息进行纪录和查询。	是√	是√	是√	是√	是√	是√	是√
	支持配置备份恢复机制，能够对扫描结果、日志、扫描策略模板等配置文件进行导出和导入操作。	是√	是√	是√	是√	是√	是√	是√
	支持使用HTTPS方式访问管理中心，保证扫描数据在传输过程中完整性和保密性。	是√	是√	是√	是√	否╳ 未完全实现，HTTP与HTTPS使用同一个session	是√	是√
	支持远程登陆限制，对可进行远程管理的主机IP地址范围进行限制。	是√	是√	是√	是√	是√	是√	是√
	支持提供标准的API、WEB Service接口，方便第三方系统进行数据采集和调用。	是√	是√	是√	是√	是√	是√	是√