AppScan和AWVS业界知名的Web漏洞扫描工具,你是否也好奇到底哪一个能力更胜一筹呢?接下来跟随博主一探究竟吧。
1. 方案概览
- 第一步:安装一个用于评测的Web漏洞靶场(本文采用最知名和最广泛使用的靶场,即OWASP Benchmark);
- 第二步:分别使用两款工具对靶场进行漏洞扫描,扫描参数尽量保持一致;
- 第三步:从多维度对比分析扫描过程和扫描结果;
两者的扫描报告概览如下:
2. 具体实施
2.1. 环境信息
本次测评所用的基础环境和工具版本信息如下:
- 操作系统 Windows 10
- OWASP benchmark V1.2
- AppScan 10.0.8
- AWVS 15.0.221007170
若对以下评测过程感兴趣,可以动手实操,所需要的基础环境和工具安装配置指导可以参阅博主前期文章:
- OWASP Benchmark | OWASP 基准项目镜像方式安装、配置及如何生成SAST和DAST工具的评分报告
- 安全工具 | AWVS漏洞扫描工具安装、使用技巧及注意事项(附工具下载链接)
- 安全工具 | AppScan漏洞扫描工具标准版免费安装、配置及使用指导(附工具下载链接)
2.2. 测试步骤
2.2.1. 启动靶场项目OWASP Benchmark
启动OWASP Benchmark项目,项目启动成功后可以通过URL访问靶场,本例中启动靶场地址为https://local:8443/benchmark/:
2.2.2. AWVS扫描
1、在AWVS上创建扫描任务,参数配置如下:
- 扫描策略:Full Scan,即全量扫描;
- 扫描速度:Fast,即AWVS的最快速度扫描
- 其他参数默认
2、按以上配置执行扫描,扫描完成后可以界面上看到扫描结果。
3、进入报告详情界面查看并下载报告
2.2.3. AppScan扫描
1、打开AppScan客户端,创建扫描任务,参数配置如下:
- 扫描策略:Full Scan,即全量扫描;
- 扫描速度:Fast,即快速度扫描
- 其他参数默认
2、启动AppScan扫描任务,可以看到CPU直接爆满
整个扫描过程比较漫长,需要耐心等待
3、扫描完成后查看并下载报告
2.3. 报告对比分析
完成以上两款工具对同一靶场的扫描后我们可以得到如下扫描报告:
- AppScan OWASP benchmark扫描报告.pdf (访问密码: 6277)
- AWVS OWASP benchmark扫描报告.pdf (访问密码: 6277)
接下来我们按以下维度进行对比:
| 对比项 | AWVS | AppScan | 备注 |
|---|---|---|---|
| 扫描耗时 | 140min | 533min | AppScan耗时久主要有两个原因:1、AppScan扫描规则极多;2、以上扫描参数配置的扫描速度并非是AppScan的最快速度 |
| 扫描请求个数 | 20万+个 | 100万+个 | 从AppScan发送的请求数超百万个,也可以简单说明AppScan规则数量极多 |
| 发现问题数 | 210个,其中有202个是高危漏洞 | 9000+个,其中972个高危漏洞 | 两者发现的问题根本不在一个量级 |
由于扫描报告涉及到的漏洞较多,高达上千个,博主暂时未来得及将扫描的问题进行分类比较,接下来有时间会将两者的扫描报告与OWASP Benchmark 的基准漏洞做次对比,用于评测两款工具针对漏洞的误报率和漏报率。
2.4. 总结
AppScan有业界最强悍的规则库,AppScan的规则库内置了超过1.2万个测试用例,测试用例最全,所以AppScan扫描的问题更多,扫描时长也较久;AWVS扫描SQL 注入和跨站脚本的能力较专,误报相对较低,扫描时长较短。建议企业在日常测试流程中使用AWVS,在针对重点或高风险版本使用AppScan进行查漏补缺。
